प्लेटफ़ॉर्म
php
घटक
concrete5/concrete5
में ठीक किया गया
9.4.8
9.4.8
openclaw में एक गंभीर भेद्यता पाई गई है, जहाँ गैर-व्यवस्थापक ऑपरेटर operator.admin के रूप में खुद को दावा कर सकते हैं, जिससे संभावित रूप से अनधिकृत पहुंच हो सकती है। यह भेद्यता बैकएंड-लेबल वाले पुनः कनेक्शनों से संबंधित है जो व्यापक दायरे का अनुरोध कर सकते हैं और युग्मन को बाईपास कर सकते हैं। प्रभावित संस्करण 2026.3.24 और उससे पहले के हैं, लेकिन 2026.3.25 में ठीक किया गया है।
CVE-2026-3241 Concrete CMS के 9.4.8 से पहले के संस्करणों को प्रभावित करता है और 'लेगेसी फॉर्म' ब्लॉक में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता प्रस्तुत करता है। फॉर्म बनाने या संपादित करने की अनुमति वाले प्रमाणित उपयोगकर्ता (जैसे, एक दुर्भावनापूर्ण व्यवस्थापक) कई विकल्पों के प्रश्न (चेकबॉक्स सूची, रेडियो बटन या ड्रॉप-डाउन सूची) के विकल्पों में एक स्थायी जावास्क्रिप्ट पेलोड इंजेक्ट कर सकते हैं। फिर, यह पेलोड उस पृष्ठ पर फॉर्म वाले किसी भी उपयोगकर्ता के ब्राउज़र में निष्पादित होता है। संभावित प्रभाव में कुकी चोरी, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट, पृष्ठ सामग्री में संशोधन या प्रभावित उपयोगकर्ता के संदर्भ में मनमाना कोड का निष्पादन शामिल है। इस भेद्यता की गंभीरता को CVSS 4.8 के रूप में रेट किया गया है।
यह भेद्यता 'लेगेसी फॉर्म' के भीतर 'चेकबॉक्स सूची', 'रेडियो बटन' या 'ड्रॉप-डाउन सूची' प्रश्न के विकल्पों में हेरफेर करके शोषण किया जाता है। फॉर्म संपादन विशेषाधिकार वाले एक हमलावर इन विकल्पों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। जब कोई उपयोगकर्ता फॉर्म वाले पृष्ठ पर जाता है, तो उसके ब्राउज़र द्वारा इंजेक्ट किया गया जावास्क्रिप्ट कोड निष्पादित किया जाता है, जिससे हमलावर दुर्भावनापूर्ण कार्रवाई करने में सक्षम हो जाता है। पेलोड की स्थायी प्रकृति का मतलब है कि सुधार लागू होने तक भेद्यता बनी रहती है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-3241 को कम करने का समाधान Concrete CMS को संस्करण 9.4.8 या उससे ऊपर के संस्करण में अपडेट करना है। यह अपडेट 'लेगेसी फॉर्म' ब्लॉक में उपयोगकर्ता इनपुट को ठीक से मान्य और एस्केप करके XSS भेद्यता को ठीक करता है। संभावित हमलों से अपनी वेबसाइट की सुरक्षा के लिए अपडेट को जल्द से जल्द लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, उपयोगकर्ता अनुमतियों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि केवल अधिकृत उपयोगकर्ताओं के पास फॉर्म बनाने और संपादित करने की पहुंच है। एक मजबूत पासवर्ड नीति लागू करना और दो-कारक प्रमाणीकरण को सक्षम करना Concrete CMS प्रशासन तक अनधिकृत पहुंच को रोकने में मदद कर सकता है।
Actualice Concrete CMS a la versión 9.4.8 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS almacenada en el bloque "Legacy Form". La actualización eliminará la posibilidad de inyectar código JavaScript malicioso a través de las opciones de preguntas de opción múltiple.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Concrete CMS के 9.4.8 से पहले के संस्करण का उपयोग कर रहे हैं और 'लेगेसी फॉर्म' ब्लॉक सक्षम है, तो आपकी साइट कमजोर है। कृपया जल्द से जल्द अपडेट लागू करें।
यदि आपको संदेह है कि आपकी साइट से समझौता किया गया है, तो तुरंत सभी उपयोगकर्ता पासवर्ड बदलें, संदिग्ध गतिविधि के लिए साइट लॉग की जांच करें और एक साफ बैकअप से पुनर्स्थापित करने पर विचार करें।
9.4.8 या उससे ऊपर के संस्करण में अपडेट किए बिना कोई व्यवहार्य समाधान नहीं है। 'लेगेसी फॉर्म' ब्लॉक को अक्षम करना एक अस्थायी विकल्प है, लेकिन यह आपकी साइट की कार्यक्षमता को सीमित करेगा।
आप Concrete CMS की आधिकारिक वेबसाइट: [https://www.concretecms.com/](https://www.concretecms.com/) पर संस्करण 9.4.8 में अपडेट के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।