प्लेटफ़ॉर्म
php
घटक
baserproject/basercms
में ठीक किया गया
5.2.4
5.2.3
CVE-2026-32734, baserCMS में एक DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता का फायदा उठाकर, हमलावर टैग बनाते समय दुर्भावनापूर्ण JavaScript कोड को इंजेक्ट और निष्पादित कर सकते हैं। यह भेद्यता baserCMS के 5.2.2 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को baserCMS के संस्करण 5.2.3 में ठीक कर दिया गया है।
basercms के संस्करण 5.2.2 और उससे पहले में CVE-2026-32734 की भेद्यता मौजूद है, जो टैग बनाने के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड को निष्पादित करने की अनुमति देती है। यह एक DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। एक हमलावर टैग में जावास्क्रिप्ट कोड इंजेक्ट कर सकता है, जिसे तब उस उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाएगा जो उस टैग वाले पृष्ठ को देखता है। यह हमलावर को कुकीज़ चुराने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या उपयोगकर्ता की ओर से अन्य दुर्भावनापूर्ण क्रियाएं करने की अनुमति दे सकता है। इस भेद्यता की गंभीरता को CVSS के अनुसार 7.1 के रूप में रेट किया गया है, जो मध्यम से उच्च जोखिम दर्शाता है।
भेद्यता का फायदा basercms में एक टैग बनाकर और टैग के टेक्स्ट फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करके उठाया जाता है। जब कोई उपयोगकर्ता इस टैग वाले पृष्ठ पर जाता है, तो जावास्क्रिप्ट कोड उपयोगकर्ता के ब्राउज़र में निष्पादित होता है। हमलावर इस तकनीक का उपयोग उपयोगकर्ता की संवेदनशील जानकारी प्राप्त करने या अनधिकृत क्रियाएं करने के लिए कर सकता है।
Organizations and individuals using baserproject/basercms version 5.2.2 or earlier are at risk. This includes websites and applications built on basercms, particularly those with user-generated content or public-facing tag creation features. Shared hosting environments utilizing basercms are also at increased risk due to potential cross-tenant contamination.
• php: Examine basercms tag creation forms for suspicious input. Use grep to search for potentially malicious JavaScript code within the tag content.
grep -r 'alert\(' /var/www/basercms/application/views• generic web: Monitor access logs for requests to tag creation endpoints with unusual parameters. Check response headers for signs of JavaScript injection.
curl -I https://example.com/basercms/tags/create | grep Content-Type• generic web: Use a web vulnerability scanner to identify XSS vulnerabilities in the tag creation functionality.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए अनुशंसित उपाय basercms को संस्करण 5.2.3 या बाद के संस्करण में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो टैग निर्माण के दौरान दुर्भावनापूर्ण जावास्क्रिप्ट कोड के इंजेक्शन को रोकता है। संभावित हमलों से अपनी वेबसाइट की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। अपडेट करने के तरीके के बारे में विस्तृत निर्देशों के लिए basercms सुरक्षा पृष्ठ (https://basercms.net/security/JVN_94952030) देखें। इसके अतिरिक्त, किसी भी मौजूदा टैग की समीक्षा करना और उन्हें साफ करना महत्वपूर्ण है जो समझौता किए जा सकते हैं।
Actualice baserCMS a la versión 5.2.3 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS. Puede descargar la última versión desde el sitio web oficial o actualizar a través del panel de administración.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप basercms के 5.2.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपकी वेबसाइट कमजोर है। संभावित रूप से समझौता किए गए टैग की पहचान करने के लिए सुरक्षा ऑडिट करें।
तुरंत संस्करण 5.2.3 या बाद के संस्करण में अपडेट करें। संदिग्ध गतिविधि के लिए सर्वर लॉग और डेटाबेस की जांच करें। पूर्ण मूल्यांकन के लिए सुरक्षा पेशेवर को नियुक्त करने पर विचार करें।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो उपयोगकर्ता इनपुट सत्यापन और सफाई, और सामग्री सुरक्षा नीति (CSP) का उपयोग जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
quanlna2 (Le Nguyen Anh Quan), namdi (Do Ich Nam), minhnn42 (Nguyen Ngoc Minh) और VCSLab - Viettel Cyber Security ने इस भेद्यता की खोज की।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।