प्लेटफ़ॉर्म
php
घटक
glpi
में ठीक किया गया
0.60.1
CVE-2026-25932 GLPI एसेट और आईटी मैनेजमेंट सॉफ्टवेयर में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता के कारण, एक प्रमाणित तकनीशियन उपयोगकर्ता सप्लायर फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट संग्रहीत कर सकता है, जिससे संभावित रूप से उपयोगकर्ता के ब्राउज़र में स्क्रिप्ट निष्पादित हो सकती है। यह भेद्यता GLPI के संस्करण 0.60 से लेकर 10.0.24 से पहले के संस्करणों को प्रभावित करती है। संस्करण 10.0.24 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावर को किसी भी उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति दे सकती है जो सप्लायर फ़ील्ड को प्रदर्शित करता है। हमलावर उपयोगकर्ता के सत्र कुकीज़ को चुरा सकता है, संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित कर सकता है। इस भेद्यता का उपयोग फ़िशिंग हमलों को लॉन्च करने, उपयोगकर्ता खातों को हाईजैक करने या सिस्टम पर नियंत्रण हासिल करने के लिए किया जा सकता है। GLPI एक व्यापक रूप से उपयोग किया जाने वाला एसेट मैनेजमेंट सॉफ्टवेयर है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है।
CVE-2026-25932 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। हालांकि, XSS भेद्यताएं आम तौर पर शोषण के लिए आसान होती हैं, और सार्वजनिक रूप से उपलब्ध शोषण कोड के जारी होने की संभावना है। GLPI उपयोगकर्ताओं को जल्द से जल्द पैच लागू करने की सलाह दी जाती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-25932 को कम करने के लिए, GLPI को तुरंत संस्करण 10.0.24 या बाद के संस्करण में अपडेट करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके सप्लायर फ़ील्ड में XSS पेलोड को फ़िल्टर किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके सप्लायर फ़ील्ड में उपयोगकर्ता इनपुट को सुरक्षित किया जा सकता है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए GLPI इंस्टॉलेशन का परीक्षण करें कि भेद्यता ठीक हो गई है।
Actualice GLPI a la versión 10.0.24 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente la entrada del usuario en el campo 'Sitio web del proveedor', evitando la ejecución de código malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-25932 GLPI में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो एक प्रमाणित तकनीशियन उपयोगकर्ता को सप्लायर फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट संग्रहीत करने की अनुमति देती है।
यदि आप GLPI के संस्करण 0.60 से 10.0.24 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-25932 को ठीक करने के लिए, GLPI को संस्करण 10.0.24 या बाद के संस्करण में अपडेट करें।
CVE-2026-25932 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं, लेकिन शोषण के लिए आसान होने की संभावना है।
GLPI के आधिकारिक सलाहकार को GLPI वेबसाइट पर पाया जा सकता है: [GLPI advisory URL - replace with actual URL]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।