प्लेटफ़ॉर्म
php
घटक
86480890cc621c240c86e95a3de9ecc4
में ठीक किया गया
1.0.1
1.0.1
School Log Management System के संस्करण 1.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने की अनुमति दे सकती है, जिससे उपयोगकर्ता डेटा से समझौता हो सकता है या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट किया जा सकता है। प्रभावित सिस्टम को संस्करण 1.0.1 में अपडेट करने की सलाह दी जाती है, जिसमें इस भेद्यता के लिए फिक्स शामिल है।
यह XSS भेद्यता हमलावरों को School Log Management System के भीतर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। हमलावर उपयोगकर्ता के ब्राउज़र में स्क्रिप्ट चला सकते हैं, जिससे वे संवेदनशील जानकारी चुरा सकते हैं, जैसे कि लॉगिन क्रेडेंशियल या व्यक्तिगत डेटा। वे उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट भी कर सकते हैं या सिस्टम के व्यवहार को बदल सकते हैं। चूंकि भेद्यता दूर से शोषण योग्य है, इसलिए यह सिस्टम के लिए एक महत्वपूर्ण जोखिम पैदा करती है। इस तरह के XSS हमलों का उपयोग फिशिंग हमलों को लॉन्च करने, सत्र कुकीज़ को चुराने या वेबसाइट को विकृत करने के लिए किया जा सकता है।
CVE-2024-7218 में एक सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध है, जो भेद्यता के शोषण को आसान बनाता है। CISA या KEV द्वारा अभी तक सूचीबद्ध नहीं किया गया है। NVD ने 2024-07-30 को इस भेद्यता को प्रकाशित किया। सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन सार्वजनिक PoC की उपलब्धता के कारण, शोषण का जोखिम बना हुआ है।
Schools and educational institutions using SourceCodester's School Log Management System are at risk. Specifically, organizations relying on the default configuration and not implementing additional security measures are particularly vulnerable. Shared hosting environments where multiple users share the same server resources could also be affected if one user's account is compromised.
• php: Examine the /admin/ajax.php file for unsanitized input handling of the 'Name' parameter. Search for instances where user input is directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['Name']; // Vulnerable to XSS
?>• generic web: Monitor access logs for requests to /admin/ajax.php?action=save_student containing suspicious characters or patterns commonly associated with XSS payloads (e.g., <script>, <img src=x onerror=alert(1)>).
• generic web: Use a web proxy or browser developer tools to inspect the application's response for unexpected JavaScript code execution.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (26% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-7218 को कम करने के लिए, School Log Management System को तुरंत संस्करण 1.0.1 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके भेद्यता को कम करने का प्रयास करें। फ़ायरवॉल या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण स्क्रिप्ट को ब्लॉक करें। नियमित रूप से सिस्टम लॉग की निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपडेट करने के बाद, सुनिश्चित करें कि सिस्टम ठीक से काम कर रहा है और भेद्यता ठीक हो गई है।
School Log Management System को एक पैच किए गए संस्करण में अपडेट करें जो XSS भेद्यता को ठीक करता है। यदि कोई संस्करण उपलब्ध नहीं है, तो /admin/ajax.php?action=save_student फ़ाइल में 'Name' फ़ील्ड के इनपुट की समीक्षा और फ़िल्टर करें ताकि दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सके। भविष्य के XSS हमलों को रोकने के लिए सर्वर-साइड डेटा सत्यापन और सैनिटाइजेशन लागू करने पर विचार करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-7218 School Log Management System के संस्करण 1.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप School Log Management System के संस्करण 1.0–1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-7218 को ठीक करने के लिए, School Log Management System को संस्करण 1.0.1 में अपडेट करें।
CVE-2024-7218 के लिए एक सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध है, लेकिन सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है।
आधिकारिक सलाहकार के लिए School Log Management System के विक्रेता की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।