प्लेटफ़ॉर्म
php
घटक
ci4ms
में ठीक किया गया
31.0.1
31.0.0.0
CVE-2026-34989 CI4MS में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को प्रोफ़ाइल नाम अपडेट फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है, जो तब सुरक्षित रूप से एन्कोड किए बिना कई एप्लिकेशन व्यू में प्रस्तुत किया जाता है। यह भेद्यता CI4MS के संस्करणों को प्रभावित करती है जो 31.0.0.0 से कम या उसके बराबर हैं। इस समस्या को ठीक करने के लिए, CI4MS को संस्करण 31.0.0 में अपग्रेड करने की सिफारिश की जाती है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। इसका उपयोग सत्र कुकीज़ चुराने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या उपयोगकर्ता के खाते पर नियंत्रण करने के लिए किया जा सकता है। हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, जैसे कि व्यक्तिगत डेटा, वित्तीय जानकारी या गोपनीय व्यावसायिक डेटा। इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है यदि उपयोगकर्ता के खाते में पर्याप्त विशेषाधिकार हैं। यह भेद्यता CI4MS उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम पैदा करती है, खासकर उन लोगों के लिए जो संवेदनशील डेटा संग्रहीत करते हैं या महत्वपूर्ण कार्यों को करते हैं।
CVE-2026-34989 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि जल्द ही POC जारी किए जाएंगे। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations using CI4MS for profile management and relying on user-generated content are at risk. Shared hosting environments where multiple users share the same CI4MS instance are particularly vulnerable, as a compromised user profile could impact other users on the same server.
• php: Examine CI4MS application logs for suspicious JavaScript code being stored in profile names. Use grep to search for <script> tags or event handlers within the database entries for user profiles.
grep -r '<script' /path/to/ci4ms/database/user_profiles• generic web: Monitor application access logs for unusual requests related to profile updates, particularly those containing unusual characters or patterns that might indicate an XSS attempt.
curl -I 'https://your-ci4ms-site.com/profile/update?name=<script>alert(1)</script>' # Check response headers for XSS indicatorsdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVE-2026-34989 को कम करने के लिए, CI4MS को संस्करण 31.0.0 में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है जो XSS हमलों को ब्लॉक करता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके भेद्यता को कम किया जा सकता है। CI4MS के सभी उपयोगकर्ताओं को जल्द से जल्द इस भेद्यता को ठीक करने के लिए प्रोत्साहित किया जाता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्रोफ़ाइल नाम अपडेट फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने का प्रयास करके सत्यापित करें।
भेद्यता को कम करने के लिए संस्करण 31.0.0 या उच्चतर में अपडेट करें। इस संस्करण में प्रोफ़ाइल अपडेट करते समय उपयोगकर्ता इनपुट का उचित सैनिटाइजेशन शामिल है, जो दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्शन को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34989 CI4MS में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को प्रोफ़ाइल नाम अपडेट फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है।
यदि आप CI4MS के संस्करण 31.0.0.0 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-34989 को ठीक करने के लिए, CI4MS को संस्करण 31.0.0 में अपग्रेड करें।
CVE-2026-34989 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है।
आप CVE-2026-34989 के लिए आधिकारिक CI4MS सलाहकार CI4MS वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।