प्लेटफ़ॉर्म
php
घटक
lamp-cloud
में ठीक किया गया
5.8.1
5.8.2
CVE-2026-5529 Dromara lamp-cloud के 5.8.0 से 5.8.1 संस्करणों में पाया गया एक भेद्यता है। यह भेद्यता /defUser/pageUser फ़ाइल के pageUser फ़ंक्शन में अनुचित प्राधिकरण की अनुमति देती है, जिससे हमलावर को रिमोट रूप से सिस्टम तक अनधिकृत पहुंच प्राप्त हो सकती है। इस भेद्यता की जानकारी परियोजना को दी गई थी, लेकिन अभी तक कोई प्रतिक्रिया नहीं मिली है। इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
Dromara lamp-cloud के संस्करण 5.8.1 और उससे पहले में एक विशेषाधिकार वृद्धि भेद्यता का पता चला है। यह भेद्यता DefUserController घटक में /defUser/pageUser फ़ाइल में pageUser फ़ंक्शन में स्थित है। एक हमलावर इस दोष का फायदा उठाकर अनधिकृत संसाधनों तक पहुंच प्राप्त कर सकता है या उचित प्राधिकरण के बिना क्रियाएं कर सकता है। इस भेद्यता की गंभीरता को CVSS 4.3 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। शोषण सार्वजनिक रूप से उपलब्ध है और इसे दूर से शुरू किया जा सकता है, जिससे इस भेद्यता को संबोधित करने की तात्कालिकता बढ़ जाती है। समस्या रिपोर्ट के माध्यम से समस्या की शुरुआती सूचना के बावजूद परियोजना की ओर से प्रतिक्रिया की कमी चिंताजनक है और तत्काल ध्यान देने की आवश्यकता है।
इस भेद्यता का दूर से फायदा उठाया जा सकता है, जिसका अर्थ है कि हमलावर को प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण सार्वजनिक रूप से उपलब्ध है, जिससे हमलावरों के लिए इसका उपयोग करना आसान हो जाता है। DefUserController घटक और pageUser फ़ंक्शन शोषण के प्रवेश बिंदु हैं। परियोजना की ओर से प्रतिक्रिया की कमी का मतलब है कि यह भेद्यता लंबे समय तक अनसुलझा रह सकती है, जिससे हमले का खतरा बढ़ जाता है। lamp-cloud कॉन्फ़िगरेशन से संबंधित किसी भी अन्य संभावित जोखिमों की पहचान करने और कम करने के लिए एक व्यापक सुरक्षा ऑडिट की सिफारिश की जाती है।
Organizations deploying lamp-cloud versions 5.8.0 through 5.8.1 are at immediate risk. This includes those using lamp-cloud for cloud management and automation tasks. Shared hosting environments utilizing these versions are particularly vulnerable due to the potential for cross-tenant exploitation.
• php / server:
find /var/www/html -name "DefUserController.php"• generic web:
curl -I https://your-lamp-cloud-instance/defUser/pageUser• generic web:
grep -r 'pageUser' /var/log/apache2/access.logdisclosure
poc
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, Dromara परियोजना CVE-2026-5529 के लिए कोई आधिकारिक फिक्स प्रदान नहीं करती है। जब तक पैच जारी नहीं किया जाता है, lamp-cloud के संस्करण 5.8.1 से पहले के उपयोगकर्ताओं को अस्थायी शमन उपाय लागू करने की दृढ़ता से सलाह दी जाती है। इसमें सख्त एक्सेस नियंत्रण लागू करना, सिस्टम पर संदिग्ध गतिविधि की निगरानी करना और pageUser फ़ंक्शन तक पहुंच को सीमित करना शामिल हो सकता है। उपयोगकर्ताओं को Dromara परियोजना द्वारा भविष्य में जारी किए जा सकने वाले किसी भी अपडेट या पैच के बारे में सूचित रहना महत्वपूर्ण है। Dromara टीम से संपर्क करके अपनी चिंता व्यक्त करने और फिक्स की स्थिति के बारे में जानकारी मांगने की सलाह दी जाती है। एक बार उपलब्ध होने पर, पैच किए गए संस्करण में अपग्रेड करना अंतिम समाधान है।
Actualice lamp-cloud a una versión corregida. El proyecto Dromara ha sido notificado del problema, pero aún no ha proporcionado una solución. Consulte las fuentes de referencia para obtener más información y posibles soluciones alternativas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVSS 4.3 एक गंभीरता स्कोर है जो भेद्यता से जुड़े जोखिम को इंगित करता है। 4.3 का स्कोर मध्यम से उच्च जोखिम का सुझाव देता है।
यदि आप lamp-cloud संस्करण 5.8.1 या उससे पहले का उपयोग कर रहे हैं, तो आप संभवतः इस भेद्यता से प्रभावित हैं।
सख्त एक्सेस नियंत्रण लागू करें, सिस्टम पर संदिग्ध गतिविधि की निगरानी करें और pageUser फ़ंक्शन तक पहुंच को सीमित करें।
lamp-cloud दस्तावेज़ और CVE-2026-5529 से संबंधित सुरक्षा रिपोर्ट देखें।
उनकी आधिकारिक सहायता चैनलों, जैसे उनकी वेबसाइट या GitHub रिपॉजिटरी के माध्यम से Dromara टीम से संपर्क करने का प्रयास करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।