प्लेटफ़ॉर्म
php
घटक
simple-laundry-system
में ठीक किया गया
1.0.1
CVE-2026-5565 Simple Laundry System नामक सॉफ्टवेयर में एक SQL Injection भेद्यता है। यह भेद्यता पैरामीटर हैंडलर घटक की /delmemberinfo.php फ़ाइल में मौजूद है, जहां userid तर्क का गलत तरीके से उपयोग करने से SQL Injection हो सकता है। यह भेद्यता 1.0.0 से 1.0.0 तक के संस्करणों को प्रभावित करती है और इसे दूर से ही अंजाम दिया जा सकता है। सार्वजनिक रूप से खुलासा होने के कारण, तत्काल कार्रवाई की आवश्यकता है, लेकिन अभी कोई आधिकारिक पैच उपलब्ध नहीं है।
Simple Laundry System 1.0 में एक SQL इंजेक्शन भेद्यता (vulnerability) पाई गई है, विशेष रूप से Parameter Handler घटक के /delmemberinfo.php फ़ाइल में। यह खामी (flaw) एक हमलावर (attacker) को 'userid' तर्क (argument) में हेरफेर करने की अनुमति देती है, जिससे सिस्टम के डेटाबेस पर दुर्भावनापूर्ण SQL कोड निष्पादित किया जा सकता है। इस भेद्यता की गंभीरता को CVSS स्कोर 7.3 के साथ रेट किया गया है, जो उच्च जोखिम दर्शाता है। रिमोट एक्सप्लॉइटेशन (remote exploitation) संभव है, जिसका अर्थ है कि एक हमलावर वेब एप्लिकेशन तक पहुंच वाले किसी भी स्थान से इस भेद्यता का फायदा उठा सकता है। एक्सप्लॉइट का सार्वजनिक प्रकटीकरण जोखिम को काफी बढ़ाता है, क्योंकि यह हमलावरों को भेद्यता का फायदा उठाने के तरीके के बारे में विस्तृत जानकारी प्रदान करता है। SQL इंजेक्शन से डेटा हानि या संशोधन, संवेदनशील जानकारी तक अनधिकृत पहुंच, या यहां तक कि सर्वर का पूर्ण नियंत्रण हो सकता है।
यह भेद्यता /delmemberinfo.php फ़ाइल में स्थित है, विशेष रूप से 'userid' तर्क को कैसे संभाला जाता है। एक हमलावर इस तर्क में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है, जिसे तब डेटाबेस पर निष्पादित किया जाएगा। एक्सप्लॉइट का सार्वजनिक प्रकटीकरण (public disclosure) का मतलब है कि हमलावरों के पास भेद्यता का फायदा उठाने के तरीके के बारे में विस्तृत जानकारी है, जिससे हमलों का जोखिम बढ़ जाता है। चूंकि एक्सप्लॉइट रिमोट है, इसलिए हमलावर को इस खामी का फायदा उठाने के लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं होती है। वर्तमान में, Simple Laundry System 1.0 एकमात्र ज्ञात प्रभावित उत्पाद है।
Organizations utilizing Simple Laundry System in environments with direct user input to database queries are at significant risk. Shared hosting environments where multiple users share the same database instance are particularly vulnerable, as a successful attack could impact all users on the server. Legacy configurations with outdated security practices and inadequate input validation are also at increased risk.
• php: Examine access logs for requests to /delmemberinfo.php with unusual or malformed 'userid' parameters. Look for patterns indicative of SQL injection attempts (e.g., single quotes, double quotes, semicolons).
grep -i "(select|union|insert|delete|drop)" /var/log/apache2/access.log | grep /delmemberinfo.php• generic web: Use curl to test the /delmemberinfo.php endpoint with a simple SQL injection payload (e.g., userid=1' OR '1'='1).
curl -X POST -d "userid=1' OR '1'='1" http://your-simple-laundry-system/delmemberinfo.php• generic web: Check response headers for unexpected errors or SQL-related messages that might indicate successful injection.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
Simple Laundry System के डेवलपर ने वर्तमान में इस भेद्यता के लिए कोई आधिकारिक फिक्स (fix) प्रदान नहीं किया है। सबसे प्रभावी तत्काल शमन (mitigation) /delmemberinfo.php में प्रभावित कार्यक्षमता को अस्थायी रूप से अक्षम करना है जब तक कि एक अपडेट जारी न हो जाए। सभी उपयोगकर्ता इनपुट के सख्त सत्यापन और सफाई, SQL इंजेक्शन को रोकने के लिए तैयार किए गए कथनों या संग्रहीत प्रक्रियाओं का उपयोग, और डेटाबेस खातों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने सहित अतिरिक्त सुरक्षा उपायों को लागू करने की दृढ़ता से अनुशंसा की जाती है। सिस्टम लॉग की सक्रिय रूप से निगरानी करना संदिग्ध गतिविधि का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकता है। सर्वर सॉफ़्टवेयर और अंतर्निहित पुस्तकालयों को अद्यतित रखना हमले की सतह को कम करने के लिए महत्वपूर्ण है।
Actualice el módulo Simple Laundry System a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Revise y sanee la entrada del usuario en el archivo /delmemberinfo.php para prevenir la manipulación de la consulta SQL. Implemente validación y escape adecuados para la entrada del usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक प्रकार का सुरक्षा हमला है जो एक हमलावर को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देता है, जिससे अनधिकृत डेटा एक्सेस, डेटा संशोधन या सर्वर नियंत्रण हो सकता है।
प्रभावित कार्यक्षमता को अक्षम करना, सभी उपयोगकर्ता इनपुट को मान्य और साफ करना, तैयार किए गए कथनों का उपयोग करना और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना तत्काल शमन उपाय हैं।
वेब भेद्यता स्कैनर और स्थिर कोड विश्लेषण उपकरण जैसे कई सुरक्षा विश्लेषण उपकरण SQL इंजेक्शन भेद्यताओं का पता लगाने में मदद कर सकते हैं।
प्रभावित सिस्टम को तुरंत अलग कर दें, सभी खाता पासवर्ड बदलें, संदिग्ध गतिविधि के लिए सिस्टम लॉग की जांच करें और उचित अधिकारियों को सूचित करें।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस और अन्य ऑनलाइन सुरक्षा संसाधनों में CVE-2026-5565 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।