प्लेटफ़ॉर्म
php
घटक
chyrp-lite
में ठीक किया गया
2026.01
CVE-2026-35173 Chyrp Lite ब्लॉगिंग इंजन में एक गंभीर सुरक्षा दोष है। यह एक IDOR (अधिकार पहचान दोष) है, जो प्रमाणित उपयोगकर्ताओं को उन पोस्ट को संशोधित करने की अनुमति देता है जिनके वे स्वामी नहीं हैं। इस दोष का फायदा उठाकर, एक हमलावर किसी अन्य उपयोगकर्ता के पोस्ट को बदल सकता है, जिससे पोस्ट टेकओवर का खतरा पैदा हो सकता है। यह दोष Chyrp Lite के संस्करणों में मौजूद है जो 2026.01 से पहले के हैं, लेकिन 2026.01 में इसे ठीक कर दिया गया है।
CVE-2026-35173 Chyrp Lite को प्रभावित करता है, जो एक हल्का ब्लॉगिंग इंजन है। प्रमाणित उपयोगकर्ताओं के पास पोस्ट संपादन अनुमतियों (पोस्ट संपादित करें, ड्राफ्ट संपादित करें, अपना पोस्ट संपादित करें, अपना ड्राफ्ट संपादित करें) होने पर, वे उन पोस्ट को संपादित कर सकते हैं जो उनके स्वामित्व में नहीं हैं और जिनके लिए उनके पास संपादन की अनुमति नहीं है। यह IDOR (अप्रत्यक्ष वस्तु संदर्भ) और बल्क असाइनमेंट भेद्यता तब होती है जब सिस्टम संपादन अनुरोधों को संसाधित करते समय आंतरिक पहचानकर्ताओं को ठीक से मान्य नहीं करता है। एक हमलावर post_attributes पेलोड में अन्य पोस्ट के आईडी को शामिल करके डेटा को बदल सकता है, जिससे उन्हें उन पोस्ट तक पहुंच नहीं होनी चाहिए। इससे सामग्री में संशोधन, पोस्ट का विलोपन या यहां तक कि दुर्भावनापूर्ण कोड का इंजेक्शन हो सकता है, जिससे वेबसाइट की अखंडता और उपयोगकर्ता की जानकारी से समझौता हो सकता है। CVSS गंभीरता स्कोर 6.5 है, जो मध्यम जोखिम दर्शाता है।
Chyrp Lite में प्रमाणित उपयोगकर्ता खाते और पोस्ट संपादन अनुमतियों वाले एक हमलावर इस भेद्यता का फायदा उठा सकते हैं। हमलावर उस पोस्ट के आईडी की पहचान कर सकता है जो उनका स्वामित्व नहीं है और फिर post_attributes पेलोड को हेरफेर करके एक दुर्भावनापूर्ण संपादन अनुरोध बना सकता है जिसमें लक्ष्य पोस्ट का आईडी शामिल है। यदि एप्लिकेशन इस आईडी को ठीक से मान्य नहीं करता है, तो हमलावर मालिक की तरह पोस्ट के डेटा को संशोधित कर सकता है। शोषण के लिए Chyrp Lite के डेटा संरचना का बुनियादी ज्ञान और हेरफेर किए गए HTTP अनुरोधों को बनाने की क्षमता की आवश्यकता होती है। एक बार प्रमाणित पहुंच और संपादन अनुमतियाँ प्राप्त हो जाने के बाद, शोषण की कठिनाई अपेक्षाकृत कम होती है।
Blog administrators and users with post editing permissions are at risk. Shared hosting environments are particularly vulnerable, as multiple Chyrp Lite instances may reside on the same server, increasing the potential for cross-site exploitation. Users relying on Chyrp Lite for sensitive information or critical communications should prioritize patching.
• php: Examine application logs for unusual POST requests containing manipulated post_attributes payloads. Search for patterns like id=... followed by unexpected user IDs.
grep 'post_attributes=id=' /var/log/apache2/access.log• generic web: Monitor for POST requests to post editing endpoints with suspicious parameters. Use a WAF to detect and block such requests.
curl -X POST -d "post_attributes=id=123" <post_edit_endpoint>• generic web: Check for unusual modifications to post content or metadata that do not align with expected user activity.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35173 का समाधान Chyrp Lite को संस्करण 2026.01 या बाद के संस्करण में अपडेट करना है। यह अपडेट आंतरिक पहचानकर्ताओं के हेरफेर को रोकने और यह सुनिश्चित करने के लिए सख्त सुरक्षा सत्यापन लागू करता है कि उपयोगकर्ता केवल उन पोस्ट को संपादित कर सकें जिनके लिए उनके पास उचित अनुमतियाँ हैं। शोषण के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, Chyrp Lite के भीतर उपयोगकर्ता भूमिकाओं और अनुमति नीतियों की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि केवल अधिकृत उपयोगकर्ताओं के पास पोस्ट संपादन कार्यक्षमता तक पहुंच है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी संभावित शोषण प्रयासों का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकती है।
Actualice Chyrp Lite a la versión 2026.01 o posterior para mitigar la vulnerabilidad de IDOR. Esta actualización corrige el problema de asignación masiva que permite a los atacantes modificar publicaciones que no poseen.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
IDOR का मतलब अप्रत्यक्ष वस्तु संदर्भ (Indirect Object Reference) है। यह एक प्रकार की भेद्यता है जो तब होती है जब कोई एप्लिकेशन किसी वस्तु तक पहुंचने के लिए एक पहचानकर्ता (जैसे पोस्ट आईडी) का उपयोग करता है, लेकिन यह सत्यापित नहीं करता है कि उपयोगकर्ता के पास उस वस्तु तक पहुंचने की अनुमति है या नहीं।
यदि आप 2026.01 से पहले का संस्करण उपयोग कर रहे हैं, तो आपकी वेबसाइट कमजोर है। आप Chyrp Lite व्यवस्थापन पृष्ठ पर अपने संस्करण की जांच कर सकते हैं।
तुरंत सभी उपयोगकर्ता पासवर्ड बदलें, संदिग्ध सामग्री के लिए पोस्ट की जांच करें और Chyrp Lite को नवीनतम संस्करण में अपडेट करें।
वर्तमान में CVE-2026-35173 का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालांकि, वेब भेद्यता स्कैनर IDOR पैटर्न की पहचान कर सकते हैं।
आप भेद्यता डेटाबेस (जैसे NIST NVD (राष्ट्रीय भेद्यता डेटाबेस)) या Chyrp Lite समुदाय मंचों पर अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।