प्लेटफ़ॉर्म
php
घटक
cve-niuzzz
में ठीक किया गया
1.0.1
CVE-2026-4909, Exam Form Submission 1.0 में पाई गई एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे उपयोगकर्ताओं को खतरा हो सकता है। प्रभावित संस्करण 1.0 से 1.0 तक हैं। वर्तमान में, इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
Exam Form Submission के संस्करण 1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है, विशेष रूप से /admin/update_s7.php फ़ाइल में। यह दोष 'sname' तर्क के हेरफेर के कारण होता है, जिससे हमलावरों को एप्लिकेशन में दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति मिलती है। संभावित प्रभाव में एप्लिकेशन के साथ इंटरैक्ट करने वाले उपयोगकर्ताओं के ब्राउज़रों में दुर्भावनापूर्ण स्क्रिप्ट का निष्पादन शामिल है, जिससे संवेदनशील जानकारी (जैसे लॉगिन क्रेडेंशियल) की चोरी, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट या वेब पेज सामग्री का संशोधन हो सकता है। चूंकि शोषण दूरस्थ रूप से किया जा सकता है और शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए जोखिम अधिक है और तत्काल ध्यान देने की आवश्यकता है। कोई फिक्स उपलब्ध न होने से स्थिति और खराब हो जाती है, जिससे एप्लिकेशन सक्रिय हमलों के प्रति संवेदनशील हो जाता है।
Exam Form Submission 1.0 में XSS भेद्यता /admin/update_s7.php फ़ाइल में 'sname' तर्क को हेरफेर करके शोषण की जाती है। एक हमलावर इस तर्क के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है, जिसे तब प्रभावित पृष्ठ तक पहुंचने वाले किसी भी उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाता है। तथ्य यह है कि शोषण सार्वजनिक रूप से उपलब्ध है, इसका मतलब है कि हमलावरों के पास पहले से ही इस भेद्यता का शोषण करने के लिए आवश्यक उपकरण हैं। शोषण की दूरस्थ प्रकृति हमले को सुविधाजनक बनाती है, क्योंकि इसके लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं होती है। कोई फिक्स उपलब्ध न होने से सफल हमलों का जोखिम काफी बढ़ जाता है।
Administrators and users of Exam Form Submission version 1.0 are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as an attacker could potentially compromise other applications on the same server through this vulnerability.
• php / web: Examine /admin/update_s7.php for inadequate input validation on the 'sname' parameter. Search access logs for requests containing suspicious JavaScript code in the 'sname' parameter.
grep -i 'script|alert' /var/log/apache2/access.log | grep /admin/update_s7.phpdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
हालांकि डेवलपर द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है, तत्काल शमन उपाय करने की सिफारिश की जाती है। इसमें सभी उपयोगकर्ता इनपुट, विशेष रूप से 'sname' तर्क का कड़ाई से सत्यापन और सैनिटाइजेशन शामिल है। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से दुर्भावनापूर्ण स्क्रिप्ट के निष्पादन को रोकने में मदद मिल सकती है। इसके अतिरिक्त, एप्लिकेशन को संदिग्ध गतिविधि के लिए सक्रिय रूप से मॉनिटर करने और समाधान उपलब्ध होने तक प्रभावित कार्यक्षमता को अस्थायी रूप से अक्षम करने की सिफारिश की जाती है। एक बार उपलब्ध होने पर Exam Form Submission के बाद के संस्करण में अपग्रेड करना अंतिम समाधान होगा। संभावित अपडेट के बारे में जानकारी के लिए सॉफ्टवेयर विक्रेता से संपर्क करने की भी सिफारिश की जाती है।
Actualizar el software Exam Form Submission a una versión corregida que mitigue la vulnerabilidad XSS. Aplicar validación y sanitización de entrada en el parámetro 'sname' en el archivo /admin/update_s7.php para evitar la inyección de código malicioso. Considere utilizar funciones de escape específicas para el contexto de salida (HTML, JavaScript, etc.).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक सुरक्षा भेद्यता है जो हमलावरों को वैध वेबसाइटों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
इनपुट सत्यापन और सैनिटाइजेशन को लागू करें, कंटेंट सिक्योरिटी पॉलिसी (CSP) का उपयोग करें और अपने सॉफ़्टवेयर को अपडेट रखें।
तत्काल शमन उपाय लागू करें, संदिग्ध गतिविधि के लिए अपनी वेबसाइट की निगरानी करें और सुरक्षित सॉफ़्टवेयर संस्करण उपलब्ध होने पर अपग्रेड करें।
वर्तमान में, डेवलपर द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। शमन उपायों की सिफारिश की जाती है।
हाँ, यह भेद्यता गंभीर है क्योंकि इसे दूरस्थ रूप से शोषण किया जा सकता है, शोषण सार्वजनिक रूप से उपलब्ध है और कोई फिक्स नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।