प्लेटफ़ॉर्म
php
घटक
codeigniter
में ठीक किया गया
3.4.4
CVE-2026-39380 describes a Stored Cross-Site Scripting (XSS) vulnerability within the Open Source Point of Sale application, a PHP-based point-of-sale system built on the CodeIgniter framework. This vulnerability allows attackers to inject malicious JavaScript code, which is then stored in the database and executed when the Employees interface is rendered. The vulnerability impacts versions 1.0.0 through 3.4.2, and a fix is available in version 3.4.3.
Open Source Point of Sale (POS) में CVE-2026-39380 भेद्यता उन POS सिस्टम के लिए एक महत्वपूर्ण सुरक्षा जोखिम पैदा करती है जो इस एप्लिकेशन का उपयोग करते हैं। यह एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जिसका अर्थ है कि एक हमलावर स्टॉक स्थानों कॉन्फ़िगरेशन सुविधा में stock_location पैरामीटर के माध्यम से डेटाबेस में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। फिर यह कोड कर्मचारियों के इंटरफ़ेस प्रस्तुत होने पर संग्रहीत और निष्पादित किया जाएगा। संभावित प्रभाव में कर्मचारियों के क्रेडेंशियल्स की चोरी, संवेदनशील डेटा का हेरफेर, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करना और कर्मचारियों की ओर से कार्रवाई करना शामिल है, जिससे व्यवसाय और ग्राहक जानकारी की गोपनीयता और अखंडता से समझौता होता है। CVSS स्कोर 5.4 है, जो मध्यम से उच्च जोखिम दर्शाता है।
एक हमलावर इस भेद्यता का फायदा नए स्टॉक स्थान को कॉन्फ़िगर करते समय या मौजूदा स्थान को संशोधित करते समय stock_location फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करके उठा सकता है। यह कोड डेटाबेस में संग्रहीत किया जाएगा और जब कोई कर्मचारी कर्मचारियों के इंटरफ़ेस तक पहुंचता है तो प्रत्येक बार निष्पादित किया जाएगा, उदाहरण के लिए, जब स्टॉक स्थानों की सूची को क्वेरी किया जाता है। जावास्क्रिप्ट कोड का निष्पादन हमलावर को सत्र कुकीज़ चुराने, कर्मचारियों को फ़िशिंग वेबसाइटों पर पुनर्निर्देशित करने या यहां तक कि कर्मचारी के ब्राउज़र में मनमाना कोड निष्पादित करने की अनुमति दे सकता है, जिससे सिस्टम सुरक्षा से समझौता होता है।
Organizations using Open Source Point of Sale for their point-of-sale operations, particularly those running versions 1.0.0 through 3.4.2, are at risk. Shared hosting environments where multiple customers share the same server and database are especially vulnerable, as an attacker could potentially exploit the vulnerability through another customer's account.
• php: Examine the database for suspicious JavaScript code stored in the stock_location field. Use a database query to search for <script or javascript: patterns.
SELECT * FROM your_table_name WHERE stock_location LIKE '%<script%'• generic web: Monitor access logs for requests containing unusual or obfuscated JavaScript code in the stock_location parameter. Look for POST requests to the stock location configuration endpoint.
grep 'stock_location=[^&]*<script[^>]*>' /var/log/apache2/access.log• generic web: Check response headers for signs of XSS, such as the presence of unexpected JavaScript code in the HTML content.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-39380 को कम करने का समाधान Open Source Point of Sale को संस्करण 3.4.3 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो stock_location पैरामीटर में उपयोगकर्ता इनपुट को ठीक से सैनिटाइज करता है, जिससे दुर्भावनापूर्ण जावास्क्रिप्ट कोड का इंजेक्शन रोका जा सकता है। अपडेट के अलावा, मजबूत सुरक्षा प्रथाओं को लागू करने की सिफारिश की जाती है, जैसे कि सर्वर-साइड इनपुट सत्यापन, निष्पादित किए जा सकने वाले स्क्रिप्ट के स्रोतों को प्रतिबंधित करने के लिए सामग्री सुरक्षा नीति (CSP) का उपयोग करना, और सामाजिक इंजीनियरिंग हमलों से बचने के लिए कर्मचारियों को सुरक्षा सर्वोत्तम प्रथाओं पर प्रशिक्षित करना। नियमित सुरक्षा ऑडिट अन्य संभावित कमजोरियों की पहचान करने और उनका समाधान करने में मदद कर सकते हैं।
Actualice a la versión 3.4.3 o superior para mitigar la vulnerabilidad de XSS. La actualización corrige la falta de sanitización de la entrada del usuario en el parámetro 'stock_location', previniendo la inyección de código JavaScript malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संग्रहीत XSS तब होता है जब एक हमलावर दुर्भावनापूर्ण कोड को डेटाबेस में इंजेक्ट करता है जिसे बाद में अन्य उपयोगकर्ताओं को प्रदान किया जाता है। यह विशेष रूप से खतरनाक है क्योंकि कोड उपयोगकर्ता के संदर्भ में निष्पादित होता है।
यदि आप Open Source Point of Sale के 3.4.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। इसकी पुष्टि करने के लिए प्रवेश परीक्षण करें या सुरक्षा पेशेवर से परामर्श लें।
तुरंत सभी उपयोगकर्ता पासवर्ड बदलें, संदिग्ध गतिविधि के लिए सिस्टम लॉग की जांच करें और साफ बैकअप से पुनर्स्थापित करने पर विचार करें।
स्वचालित और मैनुअल दोनों तरह के विभिन्न भेद्यता स्कैनिंग उपकरण XSS का पता लगा सकते हैं। कुछ लोकप्रिय उपकरणों में OWASP ZAP और Burp Suite शामिल हैं।
CSP एक अतिरिक्त सुरक्षा परत है जो डेवलपर्स को ब्राउज़र द्वारा लोड किए जा सकने वाले संसाधनों को नियंत्रित करने की अनुमति देती है, जिससे XSS हमलों का जोखिम कम होता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।