प्लेटफ़ॉर्म
php
घटक
phpmyfaq/phpmyfaq
में ठीक किया गया
4.1.2
4.1.1
CVE-2026-34728 phpmyfaq/phpmyfaq में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को मीडिया ब्राउज़र के माध्यम से मनमाना फ़ाइलें हटाने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का समझौता हो सकता है। यह भेद्यता phpmyfaq/phpmyfaq के संस्करणों ≤4.1.0-beta.2 को प्रभावित करती है। संस्करण 4.1.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को phpmyfaq/phpmyfaq इंस्टॉलेशन पर मनमाना फ़ाइलें हटाने की अनुमति देती है। चूंकि फ़ाइल हटाने की क्रिया बिना किसी उचित प्रमाणीकरण या प्राधिकरण जांच के की जा सकती है, इसलिए एक हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, सिस्टम फ़ाइलों को दूषित कर सकता है, या सर्वर की स्थिरता को बाधित कर सकता है। CSRF (क्रॉस-साइट स्क्रिप्टिंग) हमलों के माध्यम से शोषण विशेष रूप से चिंताजनक है, क्योंकि हमलावर उपयोगकर्ता के ब्राउज़र को फ़ाइल हटाने के अनुरोध को स्वचालित रूप से निष्पादित करने के लिए हेरफेर कर सकते हैं, जिससे उपयोगकर्ता को यह पता भी नहीं चलेगा कि यह हो रहा है। इस भेद्यता का उपयोग सर्वर पर अन्य कमजोरियों का पता लगाने और उनका शोषण करने के लिए भी किया जा सकता है, जिससे संभावित रूप से सिस्टम पर हमलावर का नियंत्रण हो सकता है।
CVE-2026-34728 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और CSRF हमलों के माध्यम से शोषण की संभावना इसे एक महत्वपूर्ण जोखिम बनाती है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बना सकते हैं। CISA KEV सूची में इस CVE की स्थिति अभी तक ज्ञात नहीं है। NVD और CISA द्वारा प्रकाशन की तारीख 2026-04-01 है।
Websites and applications utilizing phpmyfaq versions 4.1.0-beta.2 and earlier are at risk. Shared hosting environments where users have the ability to upload and manage media files are particularly vulnerable, as attackers could potentially leverage this vulnerability to compromise other users' accounts or the entire server.
• php: Examine web server access logs for requests to /phpmyfaq/media/browser/index.php?fileRemove=../… or similar patterns.
• php: Use grep to search for the vulnerable code within the MediaBrowserController::index() function in the phpmyfaq codebase.
• generic web: Monitor for unusual file deletion activity in the phpmyfaq media directory.
• linux / server: Use journalctl to filter for errors related to file access or deletion within the phpmyfaq directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.17% (38% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34728 के लिए प्राथमिक शमन उपाय phpmyfaq/phpmyfaq को संस्करण 4.1.1 या उच्चतर में अपग्रेड करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो CSRF टोकन सत्यापन को लागू करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, फ़ाइल हटाने की क्रिया के लिए उपयोगकर्ता इनपुट को मान्य और सैनिटाइज़ करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं, जैसे कि फ़ाइल नाम को व्हाइटलिस्ट करना या पथ पारगमन अनुक्रमों को फ़िल्टर करना। फ़ाइल हटाने की क्रिया के लिए आवश्यक अनुमतियों को भी सीमित किया जाना चाहिए ताकि हमलावर केवल उन फ़ाइलों को हटा सकें जिनकी उन्हें आवश्यकता है। अपग्रेड के बाद, यह सत्यापित करें कि फ़ाइल हटाने की क्रिया अपेक्षित रूप से काम कर रही है और कोई अनधिकृत फ़ाइलें नहीं हटाई जा रही हैं।
Actualice phpMyFAQ a la versión 4.1.1 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos. La actualización también incluye correcciones para la falta de validación de tokens CSRF.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34728 phpmyfaq/phpmyfaq में एक भेद्यता है जो हमलावरों को मीडिया ब्राउज़र के माध्यम से मनमाना फ़ाइलें हटाने की अनुमति देती है। यह संस्करणों ≤4.1.0-beta.2 को प्रभावित करता है।
यदि आप phpmyfaq/phpmyfaq के संस्करण ≤4.1.0-beta.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
phpmyfaq/phpmyfaq को संस्करण 4.1.1 या उच्चतर में अपग्रेड करें।
CVE-2026-34728 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और CSRF हमलों के माध्यम से शोषण की संभावना इसे एक महत्वपूर्ण जोखिम बनाती है।
आधिकारिक सलाहकार phpmyfaq वेबसाइट पर उपलब्ध होना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।