प्लेटफ़ॉर्म
php
घटक
course-sel
में ठीक किया गया
1.0.1
1.1.1
CourseSEL के 1.0.0 से 1.1.0 तक के संस्करणों में एक SQL Injection भेद्यता पाई गई है। यह भेद्यता HTTP GET पैरामीटर हैंडलर के check_sel फ़ंक्शन में seid तर्क के हेरफेर के माध्यम से शोषण की जा सकती है, जिससे हमलावर डेटाबेस तक अनधिकृत पहुंच प्राप्त कर सकते हैं। भेद्यता सार्वजनिक रूप से उजागर हो गई है और इसका दूर से फायदा उठाया जा सकता है। वर्तमान में, कोई आधिकारिक पैच उपलब्ध नहीं है।
halex CourseSEL के संस्करण 1.1.0 और उससे पहले में एक SQL इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता फ़ाइल Apps/Index/Controller/IndexController.class.php में check_sel फ़ंक्शन में मौजूद है, जो HTTP GET अनुरोधों में seid पैरामीटर के हेरफेर के कारण होती है। एक हमलावर इस भेद्यता का उपयोग डेटाबेस पर दुर्भावनापूर्ण SQL कोड निष्पादित करने के लिए कर सकता है, जिसके परिणामस्वरूप संवेदनशील डेटा का प्रकटीकरण, संशोधन या विलोपन हो सकता है। इस भेद्यता की गंभीरता को CVSS 6.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। इस सार्वजनिक भेद्यता के शुरुआती प्रकटीकरण के लिए विक्रेता की प्रतिक्रिया न करना स्थिति को बढ़ा देता है, जिससे उपयोगकर्ताओं को महत्वपूर्ण जोखिम होता है। सफल शोषण से CourseSEL डेटाबेस में संग्रहीत डेटा की अखंडता और गोपनीयता से समझौता हो सकता है।
यह भेद्यता Apps/Index/Controller/IndexController.class.php में check_sel फ़ंक्शन को लक्षित करने वाले HTTP GET अनुरोधों में seid पैरामीटर के हेरफेर के माध्यम से शोषण किया जाता है। इस शोषण के सार्वजनिक प्रकटीकरण से विभिन्न तकनीकी कौशल वाले हमलावरों के लिए इसका उपयोग करना आसान हो जाता है। चूंकि यह भेद्यता दूरस्थ है, इसलिए इसे इंटरनेट एक्सेस वाले किसी भी स्थान से शोषण किया जा सकता है। विक्रेता की प्रतिक्रिया न करना सॉफ्टवेयर के रखरखाव और समर्थन की कमी का संकेत देता है, जिससे निरंतर शोषण का जोखिम बढ़ जाता है। यह भेद्यता उन संगठनों के लिए विशेष रूप से चिंताजनक है जो छात्रों या पाठ्यक्रमों के संवेदनशील जानकारी को प्रबंधित करने के लिए CourseSEL का उपयोग करते हैं।
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि विक्रेता ने कोई समाधान प्रदान नहीं किया है, इसलिए तत्काल शमन में halex CourseSEL को अक्षम करना या इस भेद्यता को ठीक करने वाले बाद के संस्करण में अपग्रेड करना शामिल है। यदि अपग्रेड संभव नहीं है, तो SQL इंजेक्शन प्रयासों का पता लगाने और ब्लॉक करने में सक्षम वेब एप्लिकेशन फ़ायरवॉल (WAF) जैसे अतिरिक्त सुरक्षा उपायों को लागू करने की सिफारिश की जाती है। इसके अलावा, सभी उपयोगकर्ता इनपुट, विशेष रूप से GET पैरामीटर को सख्ती से मान्य और साफ करना महत्वपूर्ण है ताकि दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सके। संभावित हमलों का पता लगाने और उनका जवाब देने में मदद करने के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करना भी सहायक हो सकता है। सुरक्षा उल्लंघन के संभावित प्रभाव को सीमित करने के लिए नेटवर्क विभाजन पर विचार करें।
Actualice el módulo CourseSEL a una versión corregida que solucione la vulnerabilidad de inyección SQL en el parámetro seid. Contacte al proveedor para obtener información sobre las versiones corregidas, ya que no han respondido a las notificaciones de seguridad. Como medida preventiva, valide y escapa todas las entradas del usuario para evitar futuras inyecciones SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो हमलावरों को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से एप्लिकेशन की सुरक्षा से समझौता हो सकता है।
एक हमलावर CourseSEL डेटाबेस में संग्रहीत संवेदनशील डेटा तक संभावित रूप से पहुंच सकता है, उसे संशोधित कर सकता है या उसे हटा सकता है।
CourseSEL को अक्षम करना या एक पैच किए गए संस्करण में अपग्रेड करना सबसे अच्छा विकल्प है। यदि यह संभव नहीं है, तो WAF और इनपुट सत्यापन जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
विक्रेता की प्रतिक्रिया न करना चिंताजनक है और सॉफ्टवेयर के रखरखाव की कमी का संकेत देता है।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में CVE-2026-5537 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।