प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
25.0.1
टेम्पो के tempo/charge और tempo/session घटकों में कई सुरक्षा कमजोरियां पाई गई हैं। इन कमजोरियों का उपयोग लेन-देन हैश को फिर से चलाने, मुफ्त लेन-देन करने और शुल्क भुगतान को बदलने जैसे अवांछित कार्यों को करने के लिए किया जा सकता है। ये कमजोरियां टेम्पो के पुराने संस्करणों को प्रभावित करती हैं, लेकिन संस्करण 0.4.8 में इन्हें ठीक कर दिया गया है।
AVideo में CVE-2026-33035 एक प्रतिबिंबित XSS भेद्यता के कारण एक महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत करता है। एक गैर-प्रमाणित हमलावर URL पैरामीटर के माध्यम से दुर्भावनापूर्ण JavaScript कोड इंजेक्ट कर सकता है, जो तब पीड़ित के ब्राउज़र में निष्पादित होता है। यह AVideo द्वारा उपयोगकर्ता इनपुट को संभालने के तरीके का फायदा उठाकर प्राप्त किया जाता है, विशेष रूप से json_encode() के माध्यम से इनपुट को पारित करके और फिर उचित एन्कोडिंग के बिना innerHTML के साथ रेंडर करके। सफाई की कमी से इंजेक्ट किया गया JavaScript कोड निष्पादित हो सकता है, जिससे उपयोगकर्ता और सिस्टम जानकारी की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। प्रभाव Cookie और क्रेडेंशियल की चोरी से लेकर दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या पृष्ठ सामग्री को संशोधित करने तक भिन्न हो सकता है।
एक हमलावर इस भेद्यता का फायदा उठाकर एक दुर्भावनापूर्ण URL बना सकता है जिसमें एक पैरामीटर में इंजेक्ट किया गया JavaScript कोड होता है। जब कोई उपयोगकर्ता इस URL पर क्लिक करता है या उस तक पहुंचता है, तो JavaScript कोड उसके ब्राउज़र में निष्पादित होता है। हमलावर इस URL को ईमेल, सोशल मीडिया या अन्य चैनलों के माध्यम से वितरित कर सकता है। चूंकि भेद्यता प्रतिबिंबित है, इसलिए हमला इस बात पर निर्भर करता है कि पीड़ित दुर्भावनापूर्ण लिंक पर क्लिक करता है या नहीं। प्रमाणीकरण की कमी का मतलब है कि कोई भी उपयोगकर्ता पीड़ित हो सकता है, चाहे उसकी पहुंच का स्तर कुछ भी हो।
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVE-2026-33035 को कम करने के लिए, JavaScript कोड में उनका उपयोग करने से पहले सभी उपयोगकर्ता इनपुट को पूरी तरह से मान्य और एन्कोड करने की सिफारिश की जाती है। विशेष रूप से, videoNotFound.php फ़ाइल में, सुनिश्चित करें कि URL पैरामीटर इनपुट को json_encode() में पारित करने से पहले और महत्वपूर्ण रूप से innerHTML में उपयोग करने से पहले ठीक से एस्केप किया गया है। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से भी XSS हमले के प्रभाव को कम करने में मदद मिल सकती है, जिससे स्क्रिप्ट लोड किए जा सकने वाले स्रोतों को प्रतिबंधित किया जा सकता है। अंत में, जल्द से जल्द AVideo को पैच किए गए संस्करण (26.0) में अपडेट करने की सिफारिश की जाती है।
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS. Se recomienda realizar una copia de seguridad antes de actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रतिबिंबित XSS तब होता है जब एक हमलावर वेब एप्लिकेशन में दुर्भावनापूर्ण कोड इंजेक्ट करता है, जिसे तब सर्वर के प्रतिक्रिया के माध्यम से उपयोगकर्ता को वापस प्रतिबिंबित किया जाता है। संग्रहीत XSS के विपरीत, दुर्भावनापूर्ण कोड को सर्वर पर स्थायी रूप से संग्रहीत नहीं किया जाता है।
XSS से सुरक्षा में सभी उपयोगकर्ता इनपुट को मान्य और एन्कोड करना, कंटेंट सिक्योरिटी पॉलिसी (CSP) का उपयोग करना और सॉफ़्टवेयर को नियमित रूप से अपडेट करना शामिल है।
jsonencode() PHP मान को JSON स्ट्रिंग में परिवर्तित करता है। यदि इनपुट में JavaScript कोड होता है, तो jsonencode() इसे स्वचालित रूप से एन्कोड नहीं करता है, जिससे यह innerHTML के साथ उपयोग किए जाने पर निष्पादित हो सकता है।
innerHTML वेब पेज में HTML कोड डालने की अनुमति देता है। यदि अविश्वसनीय डेटा के साथ उपयोग किया जाता है, तो इसका उपयोग दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने के लिए किया जा सकता है।
यदि आपको लगता है कि आप XSS हमले का शिकार हुए हैं, तो अपने पासवर्ड बदलें, अपनी ऑनलाइन गतिविधि की समीक्षा करें और एंटीवायरस सॉफ़्टवेयर का उपयोग करने पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।