प्लेटफ़ॉर्म
php
में ठीक किया गया
1.0.1
CVE-2026-5034, Accounting System 1.0 में एक SQL इंजेक्शन भेद्यता है। यह भेद्यता /edit_costumer.php में पैरामीटर हैंडलर को प्रभावित करती है, जिससे रिमोट हमला संभव है। इस भेद्यता का फायदा उठाकर डेटाबेस से समझौता किया जा सकता है। Accounting System के 1.0 संस्करण इससे प्रभावित हैं। फिलहाल, कोई आधिकारिक पैच उपलब्ध नहीं है।
Code-Projects Accounting System संस्करण 1.0 में एक SQL इंजेक्शन भेद्यता (vulnerability) खोजी गई है। यह भेद्यता /editcostumer.php फ़ाइल में स्थित है, विशेष रूप से 'Parameter Handler' घटक में। एक हमलावर cosid तर्क (argument) में हेरफेर करके इस भेद्यता का फायदा उठा सकता है, जिससे उन्हें डेटाबेस से संवेदनशील डेटा को अनधिकृत रूप से एक्सेस, संशोधित या हटाने की अनुमति मिल सकती है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 7.3 के रूप में रेट किया गया है, जो मध्यम से उच्च जोखिम दर्शाता है। शोषण (exploit) के प्रकाशन से दुर्भावनापूर्ण अभिनेताओं द्वारा शोषण की संभावना बढ़ जाती है, इसलिए यह एक महत्वपूर्ण जोखिम है। उपलब्ध फिक्स की कमी से स्थिति और खराब हो जाती है, और जोखिम को कम करने के लिए तत्काल ध्यान देने की आवश्यकता होती है।
editcostumer.php में SQL इंजेक्शन भेद्यता का उपयोग दूरस्थ रूप से किया जा सकता है। एक हमलावर सिस्टम को दुर्भावनापूर्ण अनुरोध भेज सकता है, cosid पैरामीटर में हेरफेर करके SQL कोड इंजेक्ट कर सकता है। शोषण के प्रकाशन से भेद्यता की पहचान और उसके बाद के शोषण की सुविधा मिलती है। 'Parameter Handler' घटक शोषण के लिए प्रवेश बिंदु प्रतीत होता है, जो उपयोगकर्ता इनपुट सत्यापन की कमी का संकेत देता है। उचित इनपुट डेटा सैनिटाइजेशन की कमी के कारण, हमलावर डेटाबेस में संग्रहीत डेटा की अखंडता और गोपनीयता से समझौता करते हुए, मनमाना SQL कमांड निष्पादित कर सकते हैं। शोषण की दूरस्थ प्रकृति का अर्थ है कि एक हमलावर नेटवर्क एक्सेस वाले किसी भी स्थान से सिस्टम को समझौता कर सकता है।
Organizations utilizing code-projects Accounting System version 1.0, particularly those hosting the application on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could potentially lead to the compromise of others.
• php / web:
curl -s -X POST -d "cos_id='; DROP TABLE users;--" http://your-accounting-system/edit_costumer.php | grep "error in your query" • generic web:
curl -I http://your-accounting-system/edit_costumer.php?cos_id='; SELECT version(); --disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5034 के लिए कोई आधिकारिक फिक्स (patch) नहीं होने के कारण, तत्काल शमन (mitigation) के लिए अतिरिक्त सुरक्षा उपायों की आवश्यकता होती है। Code-Projects Accounting System संस्करण 1.0 को तब तक डिस्कनेक्ट या अलग करने की पुरजोर अनुशंसा की जाती है जब तक कि समाधान लागू नहीं किया जा सकता। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से ज्ञात शोषण प्रयासों को ब्लॉक करने में मदद मिल सकती है। इसके अतिरिक्त, डेटाबेस एक्सेस नीतियों की समीक्षा और मजबूत करना, उपयोगकर्ता विशेषाधिकारों को सीमित करना और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना महत्वपूर्ण है। संभावित हमलों का पता लगाने और उनका जवाब देने के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करना आवश्यक है। सुरक्षा अपडेट या पैच के लिए Accounting System के विक्रेता से संपर्क करें।
Actualizar el sistema Accounting System a una versión parcheada que corrija la vulnerabilidad de inyección SQL en el archivo edit_costumer.php. Si no hay una versión disponible, se recomienda contactar al proveedor para obtener un parche o considerar alternativas más seguras.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो हमलावरों को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे अनधिकृत पहुंच, संशोधन या डेटा हटाने का कारण बन सकता है।
'CVE-2026-5034' इस विशिष्ट भेद्यता को असाइन किया गया एक अनूठा पहचानकर्ता है, जो इसे ट्रैक और संदर्भित करना आसान बनाता है।
तुरंत सिस्टम को डिस्कनेक्ट करें और सुरक्षा सलाह लें। सिस्टम लॉग की निगरानी करें और WAF को लागू करने पर विचार करें।
कोई आधिकारिक समाधान नहीं है। अस्थायी शमन उपायों में सिस्टम को अलग करना, WAF को लागू करना और डेटाबेस एक्सेस नीतियों को मजबूत करना शामिल है।
संभावित सुरक्षा अपडेट या पैच के बारे में Code-Projects Accounting System के विक्रेता से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।