प्लेटफ़ॉर्म
php
घटक
simple-laundry-system
में ठीक किया गया
1.0.1
Simple Laundry System के Parameter Handler में एक सुरक्षा भेद्यता पाई गई है, जो क्रॉस-साइट स्क्रिप्टिंग (XSS) का कारण बनती है। इस भेद्यता के कारण हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या सिस्टम पर अनधिकृत नियंत्रण प्राप्त हो सकता है। यह भेद्यता Simple Laundry System के संस्करण 1.0.0 से 1.0.0 तक के संस्करणों को प्रभावित करती है। भेद्यता सार्वजनिक रूप से उजागर हो गई है, और फिलहाल कोई आधिकारिक पैच उपलब्ध नहीं है।
Simple Laundry System 1.0 में CVE-2026-5541 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। Parameter Handler घटक, विशेष रूप से /modmemberinfo.php फ़ाइल, 'userid' तर्क के हेरफेर के लिए असुरक्षित है। एक दूरस्थ हमलावर इस कमजोरी का फायदा उठाकर दुर्भावनापूर्ण स्क्रिप्ट को एप्लिकेशन में इंजेक्ट कर सकता है, जो अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित होगी। यह हमलावर को संवेदनशील जानकारी, जैसे लॉगिन क्रेडेंशियल चुराने या उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने की अनुमति दे सकता है। इस भेद्यता के शोषण का सार्वजनिक प्रकटीकरण जोखिम को बढ़ाता है, क्योंकि यह हमलों के निर्माण और प्रसार को सुविधाजनक बनाता है। आधिकारिक फिक्स की कमी वैकल्पिक शमन उपायों को लागू करने की तात्कालिकता को बढ़ाती है।
CVE-2026-5541 Simple Laundry System 1.0 में /modmemberinfo.php फ़ाइल में 'userid' तर्क के हेरफेर के माध्यम से शोषण किया जाता है। एक हमलावर 'userid' के लिए संशोधित मान के साथ एक दुर्भावनापूर्ण HTTP अनुरोध भेज सकता है जिसमें JavaScript कोड शामिल है। यह कोड वेब पेज में इंजेक्ट किया जाता है और उस उपयोगकर्ता के ब्राउज़र में निष्पादित होता है जो पेज पर जाता है। शोषण दूरस्थ है, जिसका अर्थ है कि हमलावर को सर्वर तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण का सार्वजनिक होना इंगित करता है कि हमलों को सुविधाजनक बनाने के लिए उपकरण और तकनीकें उपलब्ध हैं, जिससे शोषण का जोखिम बढ़ जाता है। आधिकारिक फिक्स की कमी एप्लिकेशन को विशेष रूप से असुरक्षित बनाती है।
Organizations and individuals using Simple Laundry System version 1.0.0–1.0 are at risk. Shared hosting environments are particularly vulnerable, as a compromised account on one site could potentially be used to exploit this vulnerability on other sites hosted on the same server.
• php / web:
curl -I 'http://your-simple-laundry-system/modmemberinfo.php?userid=<script>alert(1)</script>' | grep -i 'content-type'• generic web:
curl -I 'http://your-simple-laundry-system/modmemberinfo.php?userid=<script>alert(1)</script>' | grep -i 'content-type'• generic web: Check access logs for requests to /modmemberinfo.php with unusual or suspicious values in the 'userid' parameter. • generic web: Review response headers for signs of XSS payloads being executed.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (11% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि कोई आधिकारिक फिक्स (फिक्स: कोई नहीं) प्रदान नहीं किया गया है, इसलिए CVE-2026-5541 को कम करने के लिए एक सक्रिय दृष्टिकोण की आवश्यकता है। हम सभी उपयोगकर्ता इनपुट, विशेष रूप से /modmemberinfo.php में 'userid' तर्क के सख्त सत्यापन और स्वच्छता की दृढ़ता से अनुशंसा करते हैं। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से दुर्भावनापूर्ण स्क्रिप्ट के निष्पादन को रोकने में मदद मिल सकती है। इसके अतिरिक्त, एप्लिकेशन को संदिग्ध गतिविधि के लिए मॉनिटर करना और Simple Laundry System के अधिक सुरक्षित संस्करण में अपग्रेड करने पर विचार करना उचित है, जब यह उपलब्ध हो। सुरक्षा पैच लागू करना और वेब एप्लिकेशन फ़ायरवॉल (WAF) को तैनात करना भी जोखिम को कम करने में मदद कर सकता है। उपयोगकर्ता डेटा की सुरक्षा और एप्लिकेशन अखंडता को प्राथमिकता देना महत्वपूर्ण है।
Simple Laundry System को एक ठीक किए गए संस्करण में अपडेट करें। नवीनतम संस्करण के लिए विक्रेता की वेबसाइट या कोड रिपॉजिटरी की जाँच करें। अपडेट होने तक, अतिरिक्त सुरक्षा उपाय लागू करें, जैसे इनपुट सत्यापन और आउटपुट फ़िल्टरिंग, XSS के जोखिम को कम करने के लिए।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है, उनके क्रेडेंशियल चुराए जा सकते हैं, या अन्य दुर्भावनापूर्ण हमलों से प्रभावित किया जा सकता है।
अनुशंसित शमन उपायों को लागू करें, जैसे इनपुट सत्यापन और कंटेंट सिक्योरिटी पॉलिसी (CSP)। संदिग्ध गतिविधि के लिए अपने एप्लिकेशन की निगरानी करें।
वर्तमान में, कोई आधिकारिक फिक्स (फिक्स: कोई नहीं) प्रदान नहीं किया गया है।
आप OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) जैसे संसाधनों पर XSS के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।