प्लेटफ़ॉर्म
php
घटक
simple-laundry-system
में ठीक किया गया
1.0.1
Simple Laundry System के कोड-प्रोजेक्ट्स में एक भेद्यता पाई गई है, जो Parameter Handler घटक के /modifymember.php फ़ाइल में मौजूद है। इस भेद्यता के कारण क्रॉस-साइट स्क्रिप्टिंग (XSS) हो सकती है, जिससे हमलावर firstName तर्क को बदलकर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं। यह भेद्यता 1.0.0 से 1.0 तक के संस्करणों को प्रभावित करती है और रिमोट अटैक के माध्यम से शुरू की जा सकती है। शोषण प्रकाशित हो गया है, इसलिए तत्काल ध्यान देने की आवश्यकता है।
Simple Laundry System 1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है, विशेष रूप से पैरामीटर हैंडलर घटक के /modifymember.php फ़ाइल में। यह भेद्यता एक हमलावर को 'firstName' तर्क को हेरफेर करके एप्लिकेशन में दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है। चूंकि शोषण दूरस्थ रूप से किया जा सकता है और इसे प्रकाशित किया गया है, इसलिए जोखिम महत्वपूर्ण है। एक हमलावर इस इंजेक्टेड कोड का उपयोग सत्र कुकीज़ चुराने, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या उपयोगकर्ता द्वारा देखे जा रहे वेब पेज की सामग्री को संशोधित करने के लिए कर सकता है, जिससे सिस्टम की गोपनीयता और अखंडता से समझौता होता है। कोई फिक्स उपलब्ध न होने से स्थिति और खराब हो जाती है, जिससे जोखिम को कम करने के लिए तत्काल ध्यान देने की आवश्यकता होती है।
XSS भेद्यता पैरामीटर हैंडलर घटक के भीतर /modifymember.php फ़ाइल में स्थित है। एक हमलावर 'firstName' तर्क में इंजेक्ट किए गए जावास्क्रिप्ट कोड के साथ एक दुर्भावनापूर्ण अनुरोध भेजकर इस भेद्यता का शोषण कर सकता है। चूंकि भेद्यता दूरस्थ रूप से शोषण की जा सकती है, इसलिए एक हमलावर इंटरनेट एक्सेस वाली किसी भी स्थान से हमले शुरू कर सकता है। शोषण का प्रकाशन इस तथ्य का संकेत है कि भेद्यता ज्ञात है और विभिन्न कौशल स्तरों के हमलावरों द्वारा आसानी से शोषण किया जा सकता है। कोई आधिकारिक फिक्स न होने से सिस्टम हमलों के प्रति विशेष रूप से असुरक्षित हो जाता है।
Organizations using Simple Laundry System version 1.0.0–1.0, particularly those hosting the application on shared hosting environments or without robust input validation practices, are at significant risk. Those with publicly accessible instances of Simple Laundry System are especially vulnerable.
• php / web:
curl -I 'http://your-simple-laundry-system.com/modifymember.php?firstName=<script>alert("XSS")</script>' | grep -i 'content-type'• php / web: Examine /modifymember.php for unsanitized use of the firstName parameter in HTML output.
• generic web: Monitor access logs for requests to /modifymember.php with unusual or suspicious values in the firstName parameter.
• generic web: Use a browser developer console to check for unexpected JavaScript execution when accessing /modifymember.php.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (11% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि डेवलपर कोई आधिकारिक फिक्स प्रदान नहीं करता है, इसलिए रक्षात्मक सुरक्षा उपाय लागू करने की सिफारिश की जाती है। इनमें सभी उपयोगकर्ता इनपुट, विशेष रूप से 'firstName' फ़ील्ड का सख्त सत्यापन और सैनिटाइजेशन शामिल है। एक मजबूत XSS एस्केपिंग लाइब्रेरी का उपयोग करना महत्वपूर्ण है। इसके अतिरिक्त, ब्राउज़र द्वारा लोड किए जा सकने वाले सामग्री स्रोतों को प्रतिबंधित करने के लिए कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से सफल XSS हमले के संभावित प्रभाव को कम किया जा सकता है। संदिग्ध गतिविधि के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करने से संभावित हमलों का पता लगाने और उनका जवाब देने में भी मदद मिल सकती है। यदि भविष्य में उपलब्ध हो तो सिस्टम के अधिक सुरक्षित संस्करण में अपग्रेड करने पर विचार करें।
सिंपल लॉन्ड्री सिस्टम (Simple Laundry System) प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें ताकि XSS भेद्यता को कम किया जा सके। विशिष्ट अपडेट निर्देशों के लिए प्लगइन के आधिकारिक स्रोतों की जांच करें। भविष्य में XSS भेद्यताओं को रोकने के लिए इनपुट सत्यापन और एस्केप उपाय लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जा रहे वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करें, XSS एस्केपिंग लाइब्रेरी का उपयोग करें, कंटेंट सिक्योरिटी पॉलिसी (CSP) लागू करें और अपने सॉफ़्टवेयर को अपडेट रखें।
घटना की जांच करें, क्षति को नियंत्रित करें, भेद्यता को ठीक करें और प्रभावित उपयोगकर्ताओं को सूचित करें।
वर्तमान में, डेवलपर कोई आधिकारिक फिक्स प्रदान नहीं करता है। रक्षात्मक शमन उपायों की सिफारिश की जाती है।
आप OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) वेबसाइट पर XSS के बारे में अधिक जानकारी प्राप्त कर सकते हैं: https://owasp.org/www-project-top-ten/
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।