प्लेटफ़ॉर्म
php
घटक
jkev
में ठीक किया गया
1.0.1
1.0.1
SourceCodester/jkev Record Management System के 1.0.0–1.0 संस्करण में एक SQL Injection भेद्यता पाई गई है। यह भेद्यता Login घटक के index.php फ़ाइल के एक अज्ञात कार्यक्षमता को प्रभावित करती है, जहाँ Username तर्क में हेरफेर करके SQL Injection किया जा सकता है। यह भेद्यता दूर से हमला करने की अनुमति देती है और सार्वजनिक रूप से ज्ञात है। फिलहाल कोई आधिकारिक पैच उपलब्ध नहीं है।
SourceCodester/jkev Record Management System के संस्करण 1.0 में एक SQL इंजेक्शन भेद्यता का पता चला है। यह भेद्यता लॉगिन घटक में index.php फ़ाइल में एक अज्ञात कार्यक्षमता को प्रभावित करती है। Username तर्क के हेरफेर से एक हमलावर दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है। चूंकि शोषण को दूरस्थ रूप से किया जा सकता है, इसलिए जोखिम अधिक है। भेद्यता की गंभीरता को CVSS 7.3 के रूप में रेट किया गया है, जो उच्च जोखिम दर्शाता है। शोषण का सार्वजनिक प्रकटीकरण हमलों की संभावना को बढ़ाता है और इस भेद्यता को संबोधित करने की तत्काल आवश्यकता है।
इस SQL इंजेक्शन भेद्यता के लिए शोषण सार्वजनिक रूप से उपलब्ध है, जिससे हमलावरों के लिए इसका उपयोग करना आसान हो जाता है। भेद्यता लॉगिन घटक में index.php फ़ाइल में स्थित है, विशेष रूप से Username तर्क को संभालने के तरीके में। एक हमलावर इस तर्क को हेरफेर कर सकता है ताकि सिस्टम द्वारा निष्पादित किए जा सकने वाले दुर्भावनापूर्ण SQL कोड को इंजेक्ट किया जा सके। चूंकि शोषण दूरस्थ है, इसलिए हमलावर को इस भेद्यता का लाभ उठाने के लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं होती है। सफल शोषण का संभावित प्रभाव संवेदनशील डेटा तक अनधिकृत पहुंच, डेटा संशोधन और सिस्टम समझौता शामिल हो सकता है।
Organizations using the jkev Record Management System, particularly those hosting the application on shared hosting environments or without robust security controls, are at increased risk. Systems with default configurations or weak password policies are especially vulnerable.
• php: Examine web server access logs for suspicious requests targeting index.php with unusual characters in the Username parameter. Use grep to search for patterns indicative of SQL injection attempts.
grep 'username=.*;' /var/log/apache2/access.log• generic web: Use curl to test the login endpoint with various payloads designed to trigger SQL injection errors.
curl -X POST -d "username='; DROP TABLE users;--" http://your-record-management-system/index.php• database (mysql): If database access is possible, check for unusual database activity or unauthorized table modifications using MySQL CLI.
mysql -u root -p -e "SHOW TABLES;"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, डेवलपर से इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। सबसे प्रभावी तत्काल शमन उपाय SourceCodester/jkev Record Management System तक पहुंच को अक्षम करना या प्रतिबंधित करना है जब तक कि सुरक्षा अपडेट जारी न हो जाए। SQL इंजेक्शन भेद्यता की पहचान करने और उसे ठीक करने के लिए स्रोत कोड का गहन सुरक्षा ऑडिट करने की पुरजोर सिफारिश की जाती है। सभी उपयोगकर्ता इनपुट को मान्य और साफ करने जैसे अतिरिक्त सुरक्षा उपायों को लागू करने से भविष्य के SQL इंजेक्शन हमलों को रोकने में मदद मिल सकती है। सिस्टम लॉग की निगरानी करके संदिग्ध गतिविधि का पता लगाना भी महत्वपूर्ण है।
Actualice el sistema Record Management System a una versión corregida. Verifique la fuente oficial (SourceCodester) para obtener la última versión y las instrucciones de actualización. Como explotación es pública, se recomienda aplicar la corrección lo antes posible.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVSS 7.3 एक गंभीरता स्कोर है जो उच्च जोखिम दर्शाता है। इसका मतलब है कि भेद्यता का शोषण करना अपेक्षाकृत आसान है और सिस्टम की गोपनीयता, अखंडता और उपलब्धता पर महत्वपूर्ण प्रभाव पड़ सकता है।
यदि आप इस संस्करण के सिस्टम का उपयोग कर रहे हैं, तो जब तक फिक्स जारी नहीं हो जाता, तब तक इसे तुरंत अक्षम कर दें। अधिक सुरक्षित विकल्प पर माइग्रेट करने पर विचार करें।
सभी उपयोगकर्ता इनपुट को मान्य और साफ करें, पैरामीटराइज़्ड क्वेरी या संग्रहीत प्रक्रियाओं का उपयोग करें और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें।
हां, कई सुरक्षा स्कैनिंग उपकरण हैं जो आपके कोड में SQL इंजेक्शन भेद्यताओं का पता लगाने में आपकी सहायता कर सकते हैं।
KEV (नॉलेज एनवायरनमेंट वल्नरेबिलिटीज़) भेद्यता वर्गीकरण प्रणाली है। इस तथ्य के कारण कि इस भेद्यता से कोई KEV संबद्ध नहीं है, इसका मतलब है कि इसे उस प्रणाली में औपचारिक रूप से वर्गीकृत नहीं किया गया है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।