प्लेटफ़ॉर्म
php
घटक
movable-type
में ठीक किया गया
9.1.1
9.0.7
8.8.3
8.0.10
9.1.1
9.0.7
8.8.3
8.0.10
9.1.1
9.0.7
9.1.1
9.0.7
2.14.1
2.14.1
2.14.1
5.1.1
5.2.1
5.2.2
6.0.1
6.0.2
7.0.1
8.4.1
1.0.1
CVE-2026-33088 represents a SQL Injection vulnerability discovered in Movable Type, a content management system developed by Six Apart Ltd. This flaw allows unauthorized individuals to inject malicious SQL code, potentially gaining access to sensitive data or manipulating the database. The vulnerability affects versions 8.0.9 up to and including 9.1.0, and a patch is available in version 9.1.1.
CVE-2026-33088 Six Apart Ltd. द्वारा प्रदान किए गए कंटेंट मैनेजमेंट सिस्टम (CMS) Movable Type को प्रभावित करता है। यह SQL इंजेक्शन भेद्यता हमलावरों को मनमाना SQL स्टेटमेंट निष्पादित करने की अनुमति देती है, जिससे डेटाबेस में संग्रहीत डेटा की गोपनीयता और अखंडता से समझौता हो सकता है। एक हमलावर संवेदनशील जानकारी तक पहुंच सकता है, मौजूदा डेटा को संशोधित कर सकता है या यहां तक कि एप्लिकेशन का नियंत्रण ले सकता है। इस भेद्यता की गंभीरता को CVSS स्कोर 7.3 के साथ रेट किया गया है, जो मध्यम से उच्च जोखिम का संकेत देता है। सफल शोषण के परिणामस्वरूप डेटा हानि, सेवा में व्यवधान और Movable Type का उपयोग करने वाले संगठन की प्रतिष्ठा को नुकसान हो सकता है। इस जोखिम को कम करने के लिए प्रदान किए गए सुरक्षा अपडेट को लागू करना महत्वपूर्ण है।
Movable Type में SQL इंजेक्शन भेद्यता का उपयोग HTTP अनुरोधों में इनपुट पैरामीटर में हेरफेर करके किया जा सकता है। एक हमलावर फॉर्म फ़ील्ड, URL पैरामीटर या HTTP हेडर में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है। यदि एप्लिकेशन इन इनपुट को ठीक से मान्य या सैनिटाइज नहीं करता है, तो इंजेक्टेड SQL कोड डेटाबेस सर्वर द्वारा निष्पादित किया जा सकता है। सफल शोषण के लिए, हमलावर को एप्लिकेशन तक पहुंच की आवश्यकता होती है और HTTP अनुरोध भेजने में सक्षम होना चाहिए। शोषण की जटिलता एप्लिकेशन कॉन्फ़िगरेशन और लागू किए गए सुरक्षा उपायों के आधार पर भिन्न हो सकती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33088 को संबोधित करने के लिए अनुशंसित समाधान Movable Type को संस्करण 9.1.1 या बाद के संस्करण में अपडेट करना है। इस अपडेट में SQL इंजेक्शन भेद्यता को ठीक करने वाले पैच शामिल हैं। इस बीच, एक अस्थायी उपाय के रूप में, डेटाबेस एक्सेस को प्रतिबंधित करें और संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करें। उपयोगकर्ता इनपुट सत्यापन और डेटा सैनिटाइजेशन सहित एक मजबूत सुरक्षा नीति को लागू करने से भविष्य की SQL इंजेक्शन भेद्यताओं को रोकने में मदद मिल सकती है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि एप्लिकेशन ठीक से काम कर रहा है और भेद्यता पूरी तरह से समाप्त हो गई है, व्यापक परीक्षण किया जाना चाहिए।
Actualice Movable Type a la versión 9.1.1 o posterior para mitigar la vulnerabilidad de inyección SQL. Esta actualización corrige el problema al validar correctamente la entrada del usuario. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो हमलावरों को डेटाबेस तक पहुंचने या हेरफेर करने के लिए एप्लिकेशन में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है।
एक अस्थायी उपाय के रूप में, डेटाबेस एक्सेस को प्रतिबंधित करें, लॉग की निगरानी करें और उपयोगकर्ता इनपुट को मान्य करें।
वेब एप्लिकेशन भेद्यता स्कैनर सहित कई उपकरण हैं जो एप्लिकेशन में SQL इंजेक्शन का पता लगाने में मदद कर सकते हैं।
उपयोगकर्ता इनपुट सत्यापन और सैनिटाइजेशन को लागू करें, पैरामीटराइज़्ड क्वेरी का उपयोग करें और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।