प्लेटफ़ॉर्म
php
घटक
wegia
में ठीक किया गया
3.6.11
CVE-2026-40286 WeGIA में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो एक वेब मैनेजर है जो धर्मार्थ संस्थानों के लिए डिज़ाइन किया गया है। इस भेद्यता का शोषण करने वाला एक हमलावर 'सदस्य पंजीकरण' फ़ंक्शन में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। प्रभावित संस्करण 3.6.0 से 3.6.10 तक हैं। WeGIA संस्करण 3.6.10 में इस भेद्यता को ठीक किया गया है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है, जिससे वे संवेदनशील जानकारी चुरा सकते हैं, उपयोगकर्ताओं को फ़िशिंग वेबसाइटों पर रीडायरेक्ट कर सकते हैं, या WeGIA एप्लिकेशन के व्यवहार को बदल सकते हैं। हमलावर डेटाबेस में संग्रहीत स्क्रिप्ट को स्थायी रूप से संग्रहीत कर सकते हैं, जिसका अर्थ है कि यह कई उपयोगकर्ताओं को प्रभावित कर सकता है जो प्रभावित URL पर जाते हैं। इस भेद्यता का उपयोग WeGIA एप्लिकेशन के भीतर विशेषाधिकारों को बढ़ाने के लिए भी किया जा सकता है, जिससे हमलावर अधिक नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह WeGIA का उपयोग करने वाले धर्मार्थ संस्थानों के उपयोगकर्ताओं की गोपनीयता और सुरक्षा को खतरे में डालती है।
CVE-2026-40286 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं। इस CVE को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बना सकते हैं।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40286 के लिए प्राथमिक शमन उपाय WeGIA को संस्करण 3.6.10 में अपडेट करना है, जिसमें भेद्यता को ठीक किया गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें जो XSS हमलों को फ़िल्टर कर सके। इसके अतिरिक्त, 'सदस्य पंजीकरण' फ़ंक्शन में उपयोगकर्ता इनपुट को मान्य और सैनिटाइज़ करने के लिए अतिरिक्त सुरक्षा उपायों को लागू करें। यह सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को उचित रूप से एन्कोड किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित होने से रोका जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, 'सदस्य पंजीकरण' फ़ंक्शन में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने का प्रयास करके और यह सुनिश्चित करके कि स्क्रिप्ट निष्पादित नहीं होती है।
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos de entrada en el campo 'Nombre Sócio', evitando el almacenamiento y ejecución de scripts maliciosos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40286 WeGIA के संस्करण 3.6.0 से 3.6.10 तक 'सदस्य पंजीकरण' फ़ंक्शन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है।
यदि आप WeGIA के संस्करण 3.6.0 से 3.6.10 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-40286 को ठीक करने के लिए WeGIA को संस्करण 3.6.10 में अपडेट करें।
CVE-2026-40286 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं।
WeGIA के आधिकारिक सलाहकार के लिए, कृपया WeGIA वेबसाइट या संबंधित सुरक्षा संसाधनों की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।