प्लेटफ़ॉर्म
php
घटक
itsourcecode-online-cellphone-system
में ठीक किया गया
1.0.1
CVE-2026-5553 itsourcecode Online Cellphone System में एक SQL Injection भेद्यता है, जो पैरामीटर हैंडलर के /cp/available.php फ़ाइल में मौजूद है। इस भेद्यता का शोषण करने से हमलावर डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं या डेटाबेस को संशोधित कर सकते हैं। यह भेद्यता itsourcecode Online Cellphone System के संस्करण 1.0.0 से 1.0.0 तक के संस्करणों को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
itsourcecode Online Cellphone System संस्करण 1.0 में /cp/available.php फ़ाइल (Parameter Handler घटक) में एक SQL इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता एक दूरस्थ हमलावर को 'Name' तर्क को हेरफेर करने की अनुमति देती है, जिससे सिस्टम के डेटाबेस पर दुर्भावनापूर्ण SQL कोड निष्पादित किया जा सकता है। संभावित प्रभाव गंभीर है, जिससे गोपनीय जानकारी का खुलासा, डेटा में छेड़छाड़ या यहां तक कि सिस्टम का नियंत्रण हो सकता है। शोषण की सार्वजनिक उपलब्धता शोषण के जोखिम को काफी बढ़ा देती है। CVSS स्कोर 6.3 एक मध्यम से उच्च जोखिम का संकेत देता है, जिसके लिए तत्काल ध्यान देने की आवश्यकता है।
यह भेद्यता itsourcecode Online Cellphone System 1.0 के 'Parameter Handler' घटक में /cp/available.php फ़ाइल में स्थित है। एक हमलावर इस भेद्यता का शोषण दुर्भावनापूर्ण HTTP अनुरोध भेजकर कर सकता है जो 'Name' तर्क को हेरफेर करता है ताकि SQL कोड डाला जा सके। इस शोषण की दूरस्थ प्रकृति का मतलब है कि हमलावर को सिस्टम को समझौता करने के लिए भौतिक पहुंच की आवश्यकता नहीं है। शोषण की सार्वजनिक उपलब्धता विभिन्न तकनीकी कौशल वाले हमलावरों द्वारा शोषण को आसान बनाती है। आधिकारिक फिक्स की कमी से स्थिति और खराब हो जाती है, क्योंकि सिस्टम हमलों के प्रति संवेदनशील रहता है।
Organizations using itsourcecode Online Cellphone System, particularly those with publicly accessible instances and those that haven't implemented robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same database are also particularly vulnerable, as a compromise of one user's account could potentially lead to a compromise of the entire database.
• php: Examine web server access logs for requests to /cp/available.php with unusual or malformed Name parameters. Look for patterns indicative of SQL injection attempts (e.g., ';--, UNION SELECT).
grep -i 'available.php.*Name.*(;|--)' /var/log/apache2/access.log• php: Review the source code of /cp/available.php for instances where the Name parameter is directly incorporated into SQL queries without proper sanitization or parameterization.
• generic web: Use a web vulnerability scanner (e.g., OWASP ZAP, Burp Suite) to automatically scan the application for SQL Injection vulnerabilities, focusing on the /cp/available.php endpoint.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, itsourcecode इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं करता है। तत्काल शमन में itsourcecode Online Cellphone System 1.0 को नेटवर्क से अलग करना शामिल है ताकि दूरस्थ हमलों को रोका जा सके। हम इसकी सुरक्षा अपडेट का अनुरोध करने के लिए सीधे itsourcecode से संपर्क करने की दृढ़ता से अनुशंसा करते हैं। इस बीच, अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं, जैसे फ़ायरवॉल, घुसपैठ का पता लगाने वाले सिस्टम (IDS), और SQL इंजेक्शन भेद्यता की पहचान और सुधार के लिए स्रोत कोड की गहन समीक्षा। डेटाबेस खातों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने से भी संभावित नुकसान को सीमित करने में मदद मिल सकती है।
Actualice el sistema a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cp/available.php. Revise y sanee la entrada 'Name' para prevenir la ejecución de código SQL malicioso. Implemente validación y escape de datos en todas las entradas del usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक प्रकार का हमला है जो हमलावर को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड डालने की अनुमति देता है, जिससे अनधिकृत डेटा एक्सेस, डेटा में छेड़छाड़ या मनमाना कमांड निष्पादन हो सकता है।
CVSS (Common Vulnerability Scoring System) सुरक्षा कमजोरियों की गंभीरता का आकलन करने के लिए एक मानक है। 6.3 का स्कोर एक मध्यम से उच्च जोखिम का संकेत देता है।
सिस्टम को नेटवर्क से अलग करें, सुरक्षा अपडेट का अनुरोध करने के लिए itsourcecode से संपर्क करें और अतिरिक्त सुरक्षा उपाय करने पर विचार करें।
SQL इंजेक्शन का पता लगाने वाले भेद्यता स्कैनर हैं। स्रोत कोड की मैन्युअल समीक्षा भी संभव है।
पैरामीटराइज्ड क्वेरी या संग्रहीत प्रक्रियाओं का उपयोग करें, उपयोगकर्ता इनपुट को मान्य और एस्केप करें, और डेटाबेस खातों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।