प्लेटफ़ॉर्म
php
घटक
leave-application-system
में ठीक किया गया
1.0.1
CVE-2026-5326, SourceCodester Leave Application System 1.0 में एक ऑथराइजेशन बाईपास भेद्यता है। इसका प्रभाव यूजर इनफार्मेशन हैंडलर के /index.php?page=manage_user फाइल के एक अज्ञात फंक्शन पर पड़ता है, जिससे ID आर्ग्युमेंट के मैनिपुलेशन के माध्यम से ऑथराइजेशन को बाईपास किया जा सकता है। यह भेद्यता संस्करण 1.0 को प्रभावित करती है। वर्तमान में, इस समस्या के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
SourceCodester Leave Application System संस्करण 1.0 में एक प्राधिकरण बाईपास भेद्यता (CVE-2026-5326) की पहचान की गई है। यह भेद्यता फ़ाइल /index.php?page=manage_user में एक अज्ञात फ़ंक्शन, विशेष रूप से 'User Information Handler' घटक को प्रभावित करती है। एक हमलावर 'ID' तर्क को हेरफेर करके एक्सेस नियंत्रण को बाईपास कर सकता है और संभावित रूप से संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त कर सकता है या अन्य उपयोगकर्ताओं की ओर से कार्रवाई कर सकता है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 5.3 के रूप में रेट किया गया है। हमला दूरस्थ रूप से किया जा सकता है, जिसका अर्थ है कि एक हमलावर नेटवर्क एक्सेस के साथ कहीं से भी इस भेद्यता का फायदा उठा सकता है। एक सार्वजनिक रूप से उपलब्ध शोषण जोखिम को बढ़ाता है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं के लिए भेद्यता का फायदा उठाना आसान बनाता है।
यह भेद्यता फ़ाइल /index.php?page=manage_user में 'User Information Handler' घटक में 'ID' तर्क के प्रसंस्करण में निहित है। एक हमलावर एक दुर्भावनापूर्ण अनुरोध बना सकता है जो 'ID' तर्क के मान को संशोधित करता है, जिससे वे आमतौर पर पहुंच नहीं रखते हैं, उस जानकारी या कार्यों तक पहुंच प्राप्त कर सकते हैं। शोषण की दूरस्थ प्रकृति का मतलब है कि हमलावर को कमजोर सर्वर के समान नेटवर्क पर होने की आवश्यकता नहीं है। एक सार्वजनिक रूप से उपलब्ध शोषण शोषण प्रक्रिया को काफी सरल करता है, जिससे हमलों का खतरा बढ़ जाता है। संभावित अन्य भेद्यताओं की पहचान करने और उन्हें ठीक करने के लिए स्रोत कोड का गहन सुरक्षा ऑडिट करने की सिफारिश की जाती है।
Organizations utilizing SourceCodester Leave Application System version 1.0, particularly those deploying it on shared hosting environments or without robust access controls, are at significant risk. Companies handling sensitive employee data, such as HR departments and payroll systems, should prioritize remediation.
• php / server:
grep -r "index.php?page=manage_user" /var/www/html/• php / server:
auditd -l | grep manage_user• generic web:
curl -I https://your-domain.com/index.php?page=manage_userdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, SourceCodester ने CVE-2026-5326 के लिए कोई आधिकारिक फिक्स (फिक्स) प्रदान नहीं किया है। सबसे प्रभावी तत्काल शमन उपाय Leave Application System के नवीनतम संस्करण में अपग्रेड करना है, जब यह उपलब्ध हो। इस बीच, अतिरिक्त सुरक्षा उपायों को लागू करने की सिफारिश की जाती है, जैसे कि केवल अधिकृत उपयोगकर्ताओं को एप्लिकेशन एक्सेस को प्रतिबंधित करना, शोषण के संकेतों के लिए सिस्टम गतिविधि की निगरानी करना और दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात करना। SourceCodester से किसी भी सुरक्षा घोषणाओं के बारे में सूचित रहना और उपलब्ध होने पर अपडेट लागू करना महत्वपूर्ण है। आधिकारिक फिक्स की कमी एक सक्रिय सुरक्षा रुख की आवश्यकता होती है।
Actualizar a una versión parcheada o implementar controles de acceso adecuados para restringir el acceso no autorizado a la información del usuario. Validar y sanitizar las entradas del usuario para prevenir la manipulación de parámetros.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि एक हमलावर सुरक्षा नियंत्रण को बाईपास कर सकता है और उन संसाधनों या कार्यों तक पहुंच सकता है जिन तक उसे पहुंच नहीं होनी चाहिए।
यह इस विशिष्ट भेद्यता के लिए एक अनूठा पहचानकर्ता है, जिसका उपयोग सुरक्षा रिपोर्ट में इसे ट्रैक और संदर्भित करने के लिए किया जाता है।
अतिरिक्त सुरक्षा उपाय लागू करें, जैसे कि पहुंच को प्रतिबंधित करना, गतिविधि की निगरानी करना और WAF पर विचार करना।
हाँ, एक सार्वजनिक शोषण उपलब्ध है, जो शोषण के जोखिम को बढ़ाता है।
SourceCodester की सुरक्षा घोषणाओं के बारे में सूचित रहें और National Vulnerability Database (NVD) जैसे भेद्यता डेटाबेस से परामर्श करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।