प्लेटफ़ॉर्म
joomla
घटक
phoca_maps
में ठीक किया गया
5.0.1
Phoca Maps for Joomla के संस्करण 5.0.0-6.0.2 में विभिन्न संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यताएं पाई गई हैं। ये भेद्यताएं मानचित्र और आइकन रेंडरिंग लॉजिक में मौजूद हैं, जिससे हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं। फिलहाल, इस समस्या के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2026-23900 Joomla के लिए Phoca Maps के संस्करण 5.0.0 से 6.0.2 को प्रभावित करता है, जिससे वेबसाइटों में कई संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरियां उजागर होती हैं। ये कमजोरियां मानचित्र और आइकन रेंडरिंग तर्क के भीतर मौजूद हैं, जिससे एक हमलावर अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित होने वाले दुर्भावनापूर्ण कोड को इंजेक्ट कर सकता है। प्रभाव कुकीज़ और सत्रों की चोरी से लेकर दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या पृष्ठ सामग्री को संशोधित करने तक हो सकता है। कमजोरी की गंभीरता वेबसाइट द्वारा संभाले जा रहे जानकारी की संवेदनशीलता और एक हमलावर द्वारा प्राप्त की जा सकने वाली पहुंच के स्तर पर निर्भर करती है। वर्तमान में उपलब्ध नहीं होने वाला फिक्स जोखिम को बढ़ाता है, तत्काल निवारक उपायों की आवश्यकता होती है।
एक हमलावर फॉर्म, इनपुट फ़ील्ड या किसी भी अन्य बिंदु के माध्यम से दुर्भावनापूर्ण कोड इंजेक्ट करके इन संग्रहीत XSS कमजोरियों का फायदा उठा सकता है जहां उपयोगकर्ता मानचित्र या आइकन उत्पन्न करने के लिए उपयोग किए जाने वाले डेटा प्रदान कर सकते हैं। एक बार दुर्भावनापूर्ण कोड संग्रहीत हो जाने के बाद, जब कोई अन्य उपयोगकर्ता दुर्भावनापूर्ण सामग्री वाले पृष्ठ तक पहुंचता है तो यह ट्रिगर हो जाएगा। उदाहरण के लिए, यह तब हो सकता है जब कस्टम मार्कर युक्त मानचित्र लोड किया जाता है जिसमें XSS कोड होता है। उपयोगकर्ता इनपुट के सत्यापन और सैनिटाइजेशन की कमी से हमलावरों को मानक बचावों को बायपास करने और लक्ष्य उपयोगकर्ता के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति मिलती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
चूंकि CVE-2026-23900 के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं है, इसलिए शमन निवारक उपायों पर केंद्रित है। जैसे ही यह उपलब्ध हो, Phoca Maps के नवीनतम संस्करण में अपडेट करने की पुरजोर सिफारिश की जाती है। इस बीच, मानचित्र और आइकन पीढ़ी में उपयोग किए जाने वाले उपयोगकर्ता द्वारा प्रदान किए गए डेटा को सैनिटाइज करने के लिए मजबूत इनपुट फ़िल्टरिंग को लागू करने की सिफारिश की जाती है। वेबसाइट पर निष्पादित किए जा सकने वाले स्क्रिप्ट स्रोतों को प्रतिबंधित करने के लिए सामग्री सुरक्षा नीतियों (CSP) को लागू करने की भी सिफारिश की जाती है। संदिग्ध गतिविधि के लिए वेबसाइट की सक्रिय रूप से निगरानी करना और Phoca Maps कार्यक्षमता तक पहुंच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करना भी महत्वपूर्ण कदम हैं।
Actualice el componente Phoca Maps a una versión posterior a 6.0.2 para mitigar las vulnerabilidades XSS. Consulte la documentación del proveedor en https://phoca.cz/ para obtener instrucciones detalladas sobre cómo actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा कमजोरियों के प्रकार में से एक है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
इसका मतलब है कि Phoca Maps डेवलपर ने अभी तक इस कमजोरी को ठीक करने वाला अपडेट जारी नहीं किया है। इसके लिए वैकल्पिक शमन उपायों की आवश्यकता होती है।
संभावित XSS प्रवेश बिंदुओं की पहचान करने के लिए प्रवेश परीक्षण करें या भेद्यता स्कैनिंग टूल का उपयोग करें।
CSP (सामग्री सुरक्षा नीति) एक सुरक्षा परत है जो आपको यह परिभाषित करने की अनुमति देती है कि वेब पेज पर कौन से सामग्री स्रोत लोड किए जा सकते हैं, जिससे XSS का जोखिम कम होता है।
वेबसाइट को अलग करें, घटना की जांच करें, किसी भी दुर्भावनापूर्ण कोड को हटा दें और प्रभावित उपयोगकर्ताओं को सूचित करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।