प्लेटफ़ॉर्म
php
घटक
phpgurukul-online-shopping-portal-project
में ठीक किया गया
2.1.1
PHPGurukul Online Shopping Portal Project के संस्करण 2.1 में एक SQL Injection भेद्यता पाई गई है। यह भेद्यता /sub-category.php फ़ाइल में pid तर्क के हेरफेर के माध्यम से डेटाबेस तक अनधिकृत पहुंच की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा या डेटाबेस में हेरफेर हो सकता है। यह भेद्यता संस्करण 2.1 को प्रभावित करती है। सार्वजनिक रूप से शोषण उपलब्ध होने के कारण, तत्काल ध्यान देने की आवश्यकता है।
PHPGurukul Online Shopping Portal Project 2.1 में, /sub-category.php फ़ाइल और Parameter Handler घटक के भीतर एक SQL इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता 'pid' तर्क के अनुचित हैंडलिंग के कारण है, जो दुर्भावनापूर्ण SQL कोड के इंजेक्शन की अनुमति देता है। रिमोट शोषण संभव है, जिसका अर्थ है कि एक हमलावर नेटवर्क एक्सेस के साथ किसी भी स्थान से इस कमजोरी का फायदा उठा सकता है। भेद्यता को CVSS 6.3 के रूप में रेट किया गया है, जो मध्यम जोखिम का संकेत देता है। सफल शोषण से एक हमलावर को डेटाबेस के भीतर संवेदनशील डेटा तक पहुंचने, संशोधित करने या हटाने की अनुमति मिल सकती है, जिससे सिस्टम की अखंडता और गोपनीयता से समझौता हो सकता है। शोषण की सार्वजनिक उपलब्धता हमलों के जोखिम को काफी बढ़ा देती है।
भेद्यता /sub-category.php फ़ाइल में स्थित है, विशेष रूप से 'pid' तर्क के हैंडलिंग में। एक हमलावर इस तर्क में हेरफेर करके दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है। शोषण रिमोट है, जिससे हमलावरों को नेटवर्क एक्सेस के साथ किसी भी स्थान से भेद्यता का फायदा उठाने की अनुमति मिलती है। शोषण कोड की सार्वजनिक उपलब्धता विभिन्न कौशल स्तरों के हमलावरों के लिए प्रवेश बाधा को कम करती है। संभावित प्रभाव में डेटा हानि, डेटा संशोधन और सेवा से इनकार शामिल हैं। आधिकारिक पैच की कमी शमन उपायों को लागू करने की तात्कालिकता पर प्रकाश डालती है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
फिलहाल, PHPGurukul से इस भेद्यता के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं है। सबसे तत्काल शमन उपाय Online Shopping Portal Project के नए संस्करण में अपग्रेड करना है, यदि कोई उपलब्ध है। इस बीच, 'pid' तर्क के विशेष रूप से सख्त इनपुट सत्यापन और सैनिटाइजेशन की दृढ़ता से अनुशंसा की जाती है। तैयार किए गए कथनों या संग्रहीत प्रक्रियाओं का उपयोग SQL इंजेक्शन को रोकने में मदद कर सकता है। संदिग्ध गतिविधि के लिए सर्वर लॉग की सक्रिय निगरानी भी महत्वपूर्ण है। दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें।
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /sub-category.php. Revise y sanee el código para evitar futuras inyecciones SQL, utilizando consultas preparadas o funciones de escape adecuadas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक ऐसी तकनीक है जिसमें एक हमलावर डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करता है, जिससे उन्हें संवेदनशील डेटा तक पहुंचने, संशोधित करने या हटाने की अनुमति मिल सकती है।
CVSS (कॉमन भेद्यता स्कोरिंग सिस्टम) सुरक्षा कमजोरियों की गंभीरता का आकलन करने के लिए एक मानक है। 6.3 का स्कोर मध्यम जोखिम का संकेत देता है।
अनुशंसित शमन उपायों को लागू करें, जैसे इनपुट सत्यापन और लॉग निगरानी। परियोजना अपडेट की तलाश करें और संभव होने पर नवीनतम संस्करण में अपग्रेड करें।
कई भेद्यता स्कैनिंग उपकरण हैं जो आपको SQL इंजेक्शन का पता लगाने में मदद कर सकते हैं। लोकप्रिय विकल्पों में OWASP ZAP और SQLMap शामिल हैं।
आप OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) वेबसाइट पर SQL इंजेक्शन के बारे में अधिक जानकारी प्राप्त कर सकते हैं: https://owasp.org/www-project-top-ten/।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।