चुनगह्वा टेलीकॉम टेंडरडॉकट्रांसफर - रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग से RCE

यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे वे संवेदनशील जानकारी चुरा सकते हैं, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं, या उपयोगकर्ता के खाते पर नियंत्रण कर सकते हैं। चूंकि TenderDocTransfer एप्लिकेशन Node.Js सुविधाओं का समर्थन करता है, इसलिए हमलावर ऑपरेटिंग सिस्टम कमांड चलाने के लिए इसका फायदा उठा सकते हैं, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह बिना प्रमाणीकरण के दूरस्थ हमलावरों को प्रभावित करती है, जिससे व्यापक जोखिम हो सकता है।

Organizations and individuals utilizing TenderDocTransfer in their workflows are at risk, particularly those relying on the application for sensitive data transfer. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a successful attack could potentially impact other users on the same server.

• nodejs / server:

grep -r 'TenderDocTransfer' /var/log/nodejs/

• generic web:

curl -I <target_url> | grep -i 'X-XSS-Protection'

• generic web:

curl -I <target_url> | grep -i 'Content-Security-Policy'

1. 2024-12-16Disclosure

   disclosure

1. आरक्षित2024-12-16
2. प्रकाशित2024-12-16
3. EPSS अद्यतन2026-04-02

TenderDocTransfer के संस्करण 0.41.157 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके इनपुट को सैनिटाइज़ करने और XSS हमलों को ब्लॉक करने पर विचार करें। CSRF सुरक्षा को लागू करना भी महत्वपूर्ण है ताकि हमलावर एपीआई का दुरुपयोग न कर सकें। Node.Js सुविधाओं के उपयोग को सीमित करने के लिए एप्लिकेशन कॉन्फ़िगरेशन को भी मजबूत किया जाना चाहिए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लिकेशन के इनपुट फ़ील्ड का परीक्षण करें।