प्लेटफ़ॉर्म
php
घटक
phpgurukul-user-registration-login-and-user-management-system
में ठीक किया गया
3.3.1
PHPGurukul User Registration & Login और User Management System के संस्करण 3.3 में एक SQL Injection भेद्यता पाई गई है। इस भेद्यता के कारण हमलावर डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं या उसे बदल सकते हैं। यह भेद्यता /admin/yesterday-reg-users.php फ़ाइल में ID तर्क के माध्यम से शोषण की जा सकती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
PHPGurukul User Registration & Login और User Management System के संस्करण 3.3 में एक SQL इंजेक्शन भेद्यता की पहचान की गई है। प्रभावित तत्व फ़ाइल /admin/yesterday-reg-users.php में एक अज्ञात फ़ंक्शन है। 'ID' तर्क के हेरफेर के माध्यम से, एक हमलावर दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है, जिससे संभावित रूप से डेटाबेस से समझौता हो सकता है। चूंकि दूरस्थ शोषण संभव है और एक सार्वजनिक शोषण मौजूद है, इसलिए जोखिम अधिक है। एक हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, डेटा को संशोधित कर सकता है या सिस्टम को नियंत्रित भी कर सकता है। CVSS स्कोर 6.3 है, जो मध्यम से उच्च जोखिम का संकेत देता है, जिसके लिए तत्काल ध्यान देने की आवश्यकता है।
भेद्यता /admin/yesterday-reg-users.php फ़ाइल में स्थित है, विशेष रूप से 'ID' तर्क को संसाधित करने वाले एक अज्ञात फ़ंक्शन में। एक हमलावर इस तर्क को SQL कोड इंजेक्ट करने के लिए हेरफेर कर सकता है। सार्वजनिक शोषण की उपलब्धता शोषण को आसान बनाती है, जिससे हमलों का जोखिम बढ़ जाता है। दूरस्थ शोषण का मतलब है कि हमलावर को भेद्यता का फायदा उठाने के लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं है। आधिकारिक फिक्स की कमी स्थिति को बढ़ा देती है, जिससे उपयोगकर्ताओं को अपने सिस्टम की सुरक्षा के लिए सक्रिय कदम उठाने की आवश्यकता होती है। उपयोगकर्ता प्रबंधन प्रणाली एक महत्वपूर्ण घटक है, इसलिए इस भेद्यता का डेटा की गोपनीयता, अखंडता और उपलब्धता पर महत्वपूर्ण प्रभाव पड़ सकता है।
Organizations using PHPGurukul User Registration & Login and User Management System version 3.3, particularly those with publicly accessible administration interfaces or inadequate input validation, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable.
• php: Examine web server access logs for requests to /admin/yesterday-reg-users.php with unusual or malformed 'ID' parameters. Look for SQL error messages in the application logs.
• generic web: Use curl to test the endpoint with various SQL injection payloads (e.g., curl 'http://example.com/admin/yesterday-reg-users.php?ID=1' UNION SELECT 1,2,3 -- -).
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data modifications using MySQL's audit logs or query monitoring tools.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
फिलहाल, PHPGurukul इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं करता है। तत्काल शमन में एक अपडेट जारी होने तक /admin/yesterday-reg-users.php फ़ाइल को अस्थायी रूप से अक्षम करना शामिल है। SQL इंजेक्शन भेद्यता की पहचान करने और उसे ठीक करने के लिए कोड का गहन सुरक्षा ऑडिट करने की जोरदार सिफारिश की जाती है। सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करने जैसे अतिरिक्त सुरक्षा उपायों को लागू करना भविष्य के हमलों को रोकने के लिए महत्वपूर्ण है। सिस्टम लॉग की सक्रिय रूप से निगरानी करना संदिग्ध गतिविधि का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकता है। दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करें।
Actualice el sistema PHPGurukul User Registration & Login and User Management System a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como explotación pública está disponible, se recomienda aplicar la corrección lo antes posible.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो एक हमलावर को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे सिस्टम सुरक्षा से समझौता होता है।
अनधिकृत पहुंच प्रयासों या अप्रत्याशित डेटा संशोधनों जैसी असामान्य गतिविधि के लिए सिस्टम लॉग की निगरानी करें।
सिस्टम को नेटवर्क से डिस्कनेक्ट करें, सभी पासवर्ड बदलें और मूल्यांकन और सुधार के लिए सुरक्षा पेशेवर से संपर्क करें।
ऐसे कई भेद्यता स्कैनिंग उपकरण हैं जो SQL इंजेक्शन भेद्यताओं की पहचान करने में मदद कर सकते हैं। प्रवेश परीक्षण करना भी एक अच्छी प्रथा है।
फिलहाल, आधिकारिक फिक्स के लिए कोई अनुमानित रिलीज तिथि नहीं है। अपडेट के लिए PHPGurukul वेबसाइट और सुरक्षा फ़ोरम की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।