प्लेटफ़ॉर्म
php
घटक
elabftw
में ठीक किया गया
5.1.6
eLabFTW एक ओपन-सोर्स इलेक्ट्रॉनिक लैब नोटबुक है। CVE-2024-47826 एक HTML इंजेक्शन भेद्यता है जो eLabFTW के संस्करण 5.1.5 से पहले मौजूद है। हमलावर विस्तारित खोज स्ट्रिंग में HTML कोड इंजेक्ट करके वेब पेजों में मनमाना HTML टैग इंजेक्ट कर सकता है, जिससे त्रुटि संदेश में HTML प्रदर्शित होता है। इस भेद्यता से प्रभावित संस्करण 5.1.5 से पहले के सभी संस्करण हैं। इस समस्या को हल करने के लिए, eLabFTW को संस्करण 5.1.5 में अपडेट करें।
यह भेद्यता हमलावर को वेब पेजों में मनमाना HTML कोड इंजेक्ट करने की अनुमति देती है, जैसे कि "experiments.php" (शो मोड), "database.php" (शो मोड) या "search.php"। यद्यपि हमलावर जावास्क्रिप्ट कोड निष्पादित नहीं कर सकता है, फिर भी इंजेक्टेड HTML का उपयोग उपयोगकर्ता को फ़िशिंग करने, दुर्भावनापूर्ण सामग्री प्रदर्शित करने या वेबसाइट की उपस्थिति को बदलने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन प्रयोगशालाओं के लिए चिंताजनक है जो संवेदनशील डेटा संग्रहीत करती हैं या अनुसंधान परिणामों को साझा करती हैं, क्योंकि इंजेक्टेड HTML का उपयोग डेटा को चुराने या अनुसंधान को बदनाम करने के लिए किया जा सकता है। इस भेद्यता का दायरा सीमित है क्योंकि जावास्क्रिप्ट निष्पादन संभव नहीं है, लेकिन HTML इंजेक्शन अभी भी उपयोगकर्ता अनुभव को खराब कर सकता है और सुरक्षा संबंधी चिंताएं पैदा कर सकता है।
CVE-2024-47826 को अभी तक CISA KEV में शामिल नहीं किया गया है। EPSS स्कोर का मूल्यांकन लंबित है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन HTML इंजेक्शन भेद्यताएँ आम हैं और इनका शोषण करना अपेक्षाकृत आसान है। यह भेद्यता 2024-10-14 को प्रकाशित हुई थी। सक्रिय अभियानों के बारे में कोई जानकारी नहीं है।
Research labs and organizations utilizing eLabFTW for electronic lab notebooks are at risk. Specifically, deployments using older versions (≤ 5.1.5) are vulnerable. Shared hosting environments where multiple users share the same eLabFTW instance are also at increased risk, as a compromised user account could be leveraged to exploit the vulnerability.
• php: Examine access logs for requests to experiments.php, database.php, or search.php containing unusual HTML tags or patterns in the search query parameters.
grep -i 'alert|danger|script' /var/log/apache2/access.log | grep -i 'experiments.php|database.php|search.php'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.38% (59% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-47826 को कम करने के लिए, eLabFTW को तुरंत संस्करण 5.1.5 में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें जो HTML इंजेक्शन हमलों को फ़िल्टर कर सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करके खोज फ़ंक्शन को सुरक्षित किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य किया गया है और आउटपुट को प्रदर्शित करने से पहले एन्कोड किया गया है। अपडेट के बाद, यह सत्यापित करने के लिए कि भेद्यता ठीक हो गई है, खोज फ़ंक्शन के माध्यम से HTML कोड इंजेक्ट करने का प्रयास करें।
eLabFTW को संस्करण 5.1.5 या उच्चतर में अपडेट करें। इस संस्करण में HTML इंजेक्शन भेद्यता के लिए एक सुधार शामिल है। अपडेट को सॉफ़्टवेयर के सामान्य अपडेट चैनलों के माध्यम से किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-47826 eLabFTW में एक HTML इंजेक्शन भेद्यता है जो हमलावरों को खोज फ़ंक्शन के माध्यम से वेब पेजों में मनमाना HTML कोड इंजेक्ट करने की अनुमति देती है।
यदि आप eLabFTW के संस्करण 5.1.5 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-47826 को ठीक करने के लिए, eLabFTW को संस्करण 5.1.5 में अपडेट करें।
CVE-2024-47826 के सक्रिय शोषण के बारे में कोई जानकारी नहीं है, लेकिन HTML इंजेक्शन भेद्यताएँ आम हैं और इनका शोषण करना अपेक्षाकृत आसान है।
आप आधिकारिक eLabFTW सलाहकार eLabFTW वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।