Open Source Point of Sale में पासवर्ड परिवर्तन (होम) में एक IDOR है

openSourcePOS के संस्करण 3.4.2 से पहले IDOR (Insecure Direct Object Reference) भेद्यता एक प्रमाणित, निम्न-विशेषाधिकार प्राप्त उपयोगकर्ता को employee_id पैरामीटर में हेरफेर करके अन्य उपयोगकर्ताओं (प्रशासकों सहित) के पासवर्ड बदलने की कार्यक्षमता तक पहुंचने और संशोधित करने की अनुमति देती है। एप्लिकेशन ऑब्जेक्ट स्वामित्व को सत्यापित नहीं करता है या प्राधिकरण जांच को लागू नहीं करता है। इससे एक हमलावर व्यवस्थापक खातों पर नियंत्रण प्राप्त कर सकता है, जिससे संपूर्ण पॉइंट-ऑफ-सेल सिस्टम और संवेदनशील डेटा से समझौता हो सकता है। अनधिकृत पहुंच और डेटा उल्लंघनों की संभावित क्षमता के कारण इस भेद्यता का प्रभाव महत्वपूर्ण है।

Organizations utilizing Open Source Point of Sale versions 3.4.2 and earlier, particularly those with multiple user accounts and administrator privileges, are at risk. Shared hosting environments where multiple POS systems share the same server infrastructure could also be impacted, as a compromise of one system could potentially lead to the compromise of others.

• codeigniter: Examine application logs for suspicious requests manipulating the employee_id parameter.

grep 'employee_id=' /var/log/apache2/access.log

• generic web: Monitor access logs for unusual patterns of requests targeting the password change endpoint with varying employee_id values.

curl -v 'http://your-pos-system/password_reset.php?employee_id=1' # Test with different IDs

• generic web: Check response headers for any signs of unauthorized access or privilege escalation.

curl -I 'http://your-pos-system/password_reset.php?employee_id=1' # Check status code and headers

1. 2026-03-27Disclosure

   disclosure

1. आरक्षित2026-03-23
2. प्रकाशित2026-03-27
3. EPSS अद्यतन2026-04-03

इस भेद्यता के लिए अनुशंसित शमन openSourcePOS को संस्करण 3.4.2 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में ऑब्जेक्ट-स्तरीय प्राधिकरण नियंत्रण पेश किए गए हैं, जो अनधिकृत पहुंच को प्रभावी ढंग से रोकते हैं। इसके अतिरिक्त, व्यवस्थापक खातों के लिए बहु-कारक प्रमाणीकरण (MFA) को लागू करने और उपयोगकर्ता अनुमतियों की नियमित रूप से समीक्षा करने की दृढ़ता से अनुशंसा की जाती है। संभावित सुरक्षा कमजोरियों की सक्रिय रूप से पहचान करने और उन्हें संबोधित करने के लिए नियमित प्रवेश परीक्षण किया जाना चाहिए। शोषण के जोखिम को कम करने के लिए त्वरित पैचिंग महत्वपूर्ण है।