प्लेटफ़ॉर्म
php
घटक
yeswiki/yeswiki
में ठीक किया गया
4.6.1
4.6.0
CVE-2026-34598 YesWiki नामक PHP में लिखे गए विकी सिस्टम में मौजूद एक सुरक्षा भेद्यता है। इस भेद्यता के कारण, एक हमलावर बिना प्रमाणीकरण के फॉर्म शीर्षक फ़ील्ड के माध्यम से JavaScript कोड इंजेक्ट कर सकता है, जो बैकएंड डेटाबेस में सहेजा जाता है। जब कोई उपयोगकर्ता उस इंजेक्ट किए गए पेज को देखता है, तो JavaScript पेलोड निष्पादित हो जाता है, जिससे संभावित रूप से उपयोगकर्ता डेटा से समझौता हो सकता है। यह भेद्यता YesWiki के संस्करण 4.6.0 से पहले के संस्करणों को प्रभावित करती है और संस्करण 4.6.0 में इसे ठीक कर दिया गया है।
YesWiki में CVE-2026-34598 एक संग्रहीत और ब्लाइंड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता प्रस्तुत करता है। एक हमलावर बिना किसी प्रमाणीकरण के फॉर्म शीर्षक फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह कोड बैकएंड डेटाबेस में संग्रहीत किया जाता है और किसी भी उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाता है जो प्रभावित पृष्ठ पर जाता है। प्रमाणीकरण की आवश्यकता की कमी इस भेद्यता को विशेष रूप से चिंताजनक बनाती है, जिससे अनधिकृत अभिनेताओं को YesWiki की सुरक्षा से समझौता करने और संभावित रूप से संवेदनशील जानकारी चुराने या उपयोगकर्ताओं की ओर से कार्रवाई करने की अनुमति मिलती है।
एक हमलावर YesWiki में एक विशेष रूप से तैयार किए गए फॉर्म शीर्षक के साथ एक पृष्ठ बनाकर इस भेद्यता का फायदा उठा सकता है जिसमें दुर्भावनापूर्ण जावास्क्रिप्ट कोड शामिल है। जब कोई अन्य उपयोगकर्ता उस पृष्ठ पर जाता है, तो जावास्क्रिप्ट कोड उनके ब्राउज़र में निष्पादित होता है, जिससे हमलावर कुकीज़ चुरा सकता है, उपयोगकर्ता को एक दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित कर सकता है या अन्य दुर्भावनापूर्ण कार्रवाई कर सकता है। हमले की 'अंध' प्रकृति का मतलब है कि हमलावर को यह पुष्टि करने के लिए सर्वर प्रतिक्रिया देखने की आवश्यकता नहीं है कि कोड निष्पादित किया गया है, जिससे शोषण सरल हो जाता है।
YesWiki installations running versions 4.5.5 and earlier are at direct risk. Shared hosting environments that utilize YesWiki are particularly vulnerable, as a compromised account on one site could potentially be used to inject malicious code affecting other sites on the same server. Organizations relying on YesWiki for internal documentation or knowledge management should prioritize patching.
• php: Examine YesWiki logs for unusual form submissions containing suspicious characters or JavaScript code. Use grep to search for patterns like <script or javascript: within the form title field.
grep -i 'javascript:|\<script' /var/log/yeswiki/access.log• generic web: Check YesWiki instance for exposed form title fields. Attempt to inject simple XSS payloads (e.g., <script>alert(1)</script>) and observe if the payload executes.
curl -X POST -d "form_title=<script>alert(1)</script>" http://your-yeswiki-instance/index.php/Special:FormEdit• generic web: Review response headers for any signs of XSS filtering or sanitization. Lack of filtering indicates a potential vulnerability.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
अनुशंसित समाधान YesWiki को संस्करण 4.6.0 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में XSS भेद्यता के लिए एक फिक्स शामिल है। इस बीच, सभी उपयोगकर्ता इनपुट के लिए सख्त इनपुट सत्यापन और सैनिटाइजेशन लागू करने की सलाह दी जाती है, खासकर फॉर्म शीर्षक फ़ील्ड में। इसमें केवल सुरक्षित वर्णों की अनुमति देने के लिए श्वेतसूची का उपयोग करना और किसी भी संभावित रूप से खतरनाक वर्णों को एन्कोड करना शामिल है। इसके अतिरिक्त, एप्लिकेशन को संदिग्ध गतिविधि के लिए मॉनिटर करने और संभावित XSS हमलों के प्रभाव को कम करने में मदद करने के लिए सामग्री सुरक्षा नीति (CSP) लागू करने की अनुशंसा की जाती है।
Actualice YesWiki a la versión 4.6.0 o superior. Esta versión corrige la vulnerabilidad XSS persistente. La actualización se puede realizar a través del panel de administración o descargando la última versión del sitio web oficial y reemplazando los archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यह भेद्यता खतरनाक है क्योंकि यह हमलावरों को उपयोगकर्ताओं के ब्राउज़रों में जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है, जिससे संवेदनशील जानकारी की चोरी या उपयोगकर्ता खाते का नियंत्रण हो सकता है।
यदि आप YesWiki का उपयोग कर रहे हैं, तो आपको जल्द से जल्द संस्करण 4.6.0 या बाद के संस्करण में अपग्रेड करना चाहिए।
इस बीच, आप सभी उपयोगकर्ता इनपुट के लिए सख्त इनपुट सत्यापन और सैनिटाइजेशन लागू कर सकते हैं और सामग्री सुरक्षा नीति (CSP) लागू कर सकते हैं।
अपनी वेबसाइट को XSS हमलों से सुरक्षित रखने का सबसे अच्छा तरीका है कि सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करें, श्वेतसूची का उपयोग करें, संभावित रूप से खतरनाक वर्णों को एन्कोड करें और सामग्री सुरक्षा नीति (CSP) लागू करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।