प्लेटफ़ॉर्म
php
घटक
hajimi
में ठीक किया गया
1.0.1
CVE-2026-5106, Exam Form Submission 1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता का फायदा उठाकर, हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं। यह भेद्यता /admin/update_fst.php को प्रभावित करती है। वर्तमान में, कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2026-5106 'Exam Form Submission' के संस्करण 1.0 को प्रभावित करता है, विशेष रूप से फ़ाइल /admin/update_fst.php में एक अज्ञात फ़ंक्शन। यह भेद्यता 'sname' तर्क के हेरफेर के कारण होती है, जिससे क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता होती है। इसका मतलब है कि एक हमलावर एप्लिकेशन में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जो अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित होगा, जिससे उन्हें संवेदनशील जानकारी चुराने, उपयोगकर्ताओं का प्रतिरूपण करने या उन्हें दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने की अनुमति मिलती है। जोखिम अधिक है क्योंकि शोषण दूरस्थ रूप से किया जा सकता है और एक शोषण प्रकाशित किया गया है, जिससे हमलावरों के लिए इसका उपयोग करना आसान हो जाता है। उपलब्ध फिक्स की कमी से स्थिति बढ़ जाती है और तत्काल ध्यान देने की आवश्यकता होती है।
CVE-2026-5106 /admin/update_fst.php में 'sname' पैरामीटर के हेरफेर के माध्यम से शोषण किया जाता है। एक हमलावर इस फ़ाइल को दुर्भावनापूर्ण HTTP अनुरोध भेज सकता है और 'sname' के मान में JavaScript कोड इंजेक्ट कर सकता है। इस पैरामीटर के उचित सत्यापन या एस्केप की कमी के कारण, इंजेक्ट किया गया कोड संग्रहीत किया जाता है और तब निष्पादित किया जाता है जब कोई अन्य उपयोगकर्ता 'sname' से संबंधित डेटा प्रदर्शित करने वाले पृष्ठ पर जाता है। सार्वजनिक शोषण का प्रकाशन इस तथ्य का अर्थ है कि हमलावरों के पास हमले को अंजाम देने के लिए एक चरण-दर-चरण मार्गदर्शिका है, जिससे शोषण का जोखिम काफी बढ़ जाता है। इस भेद्यता की दूरस्थ प्रकृति का अर्थ है कि इसे किसी भी स्थान से शोषण किया जा सकता है जहां एप्लिकेशन तक पहुंच है।
Administrators and users with access to the /admin/update_fst.php endpoint are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• php / web:
grep -r 'sname' /var/www/exam_form_submission/admin/update_fst.php• generic web:
curl -I http://your-exam-form-submission-url.com/admin/update_fst.php?sname=<script>alert(1)</script>• generic web: Examine access logs for requests to /admin/update_fst.php containing suspicious characters in the 'sname' parameter (e.g., <script>, <img src=x onerror=alert(1)>).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि कोई आधिकारिक फिक्स (फिक्स: कोई नहीं) प्रदान नहीं किया गया है, इसलिए तत्काल शमन निवारक उपायों पर केंद्रित है। जब तक समाधान लागू नहीं हो जाता, तब तक /admin/update_fst.php में प्रभावित कार्यक्षमता को अस्थायी रूप से अक्षम करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, 'sname' तर्क के लिए मजबूत इनपुट फ़िल्टरिंग को लागू करना महत्वपूर्ण है, संभावित रूप से खतरनाक वर्णों को मान्य और एस्केप करना। 'sname' के हेरफेर से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की सक्रिय रूप से निगरानी करना आवश्यक है। XSS हमलों का पता लगाने और ब्लॉक करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करें। अंत में, सुनिश्चित करें कि सर्वर सॉफ़्टवेयर और इसके सभी निर्भरताएं अद्यतित हैं ताकि अन्य कमजोरियों को कम किया जा सके जिनका संभावित रूप से संयोजन में शोषण किया जा सकता है।
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro 'sname' en el archivo '/admin/update_fst.php'. Validar y limpiar las entradas del usuario para prevenir ataques de Cross-Site Scripting (XSS).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यह इंगित करता है कि इस भेद्यता के लिए डेवलपर द्वारा कोई आधिकारिक समाधान या पैच प्रदान नहीं किया गया है।
यदि आप 'Exam Form Submission' संस्करण 1.0 का उपयोग कर रहे हैं, तो आप प्रभावित होने की संभावना है। सर्वर लॉग की निगरानी करें और प्रवेश परीक्षण करें।
WAF (वेब एप्लिकेशन फ़ायरवॉल) एक सुरक्षा उपकरण है जो XSS और SQL इंजेक्शन जैसे सामान्य हमलों से वेब अनुप्रयोगों की रक्षा करता है।
प्रभावित सिस्टम को अलग करें, सभी उपयोगकर्ता पासवर्ड बदलें और एक व्यापक सुरक्षा ऑडिट करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।