प्लेटफ़ॉर्म
php
घटक
car-rental-project
में ठीक किया गया
1.0.1
प्रोजेक्टवर्ल्ड्स कार रेंटल प्रोजेक्ट के संस्करण 1.0.0–1.0 में एक SQL इंजेक्शन भेद्यता पाई गई है। यह भेद्यता /book_car.php फ़ाइल के पैरामीटर हैंडलर घटक में मौजूद है, जहां fname तर्क में हेरफेर करके हमलावर डेटाबेस तक पहुंच प्राप्त कर सकते हैं। यह भेद्यता दूर से शुरू की जा सकती है और इसका शोषण सार्वजनिक रूप से उपलब्ध है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
कार रेंटल प्रोजेक्ट 1.0 में, /book_car.php फ़ाइल में एक SQL इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता पैरामीटर हैंडलर घटक को प्रभावित करती है और एक हमलावर को दुर्भावनापूर्ण SQL कोड निष्पादित करने के लिए 'fname' तर्क को हेरफेर करने की अनुमति देती है। CVSS स्कोर 7.3 है, जो एक उच्च-गंभीरता भेद्यता को इंगित करता है। शोषण दूरस्थ है, जिसका अर्थ है कि हमलावर को सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। एक सार्वजनिक रूप से उपलब्ध शोषण स्थिति को बढ़ाता है, जिससे हमलों का खतरा बढ़ जाता है। SQL इंजेक्शन एक हमलावर को संवेदनशील डेटाबेस डेटा तक पहुंचने, संशोधित करने या हटाने में सक्षम कर सकता है, जिससे ग्राहक और व्यावसायिक जानकारी की गोपनीयता और अखंडता से समझौता हो सकता है।
भेद्यता पैरामीटर हैंडलर घटक के भीतर /book_car.php फ़ाइल में स्थित है। एक हमलावर इस भेद्यता का शोषण इंजेक्टेड SQL कोड के साथ 'fname' तर्क को हेरफेर करने वाले दुर्भावनापूर्ण अनुरोध को भेजकर कर सकता है। भेद्यता की दूरस्थ प्रकृति का मतलब है कि एक हमलावर उस स्थान से हमले शुरू कर सकता है जहां एप्लिकेशन चल रहा है, उसके पास नेटवर्क एक्सेस है। सार्वजनिक रूप से उपलब्ध शोषण विभिन्न तकनीकी कौशल स्तरों के हमलावरों द्वारा शोषण को सुविधाजनक बनाता है। संभावित प्रभाव संवेदनशील डेटा का खुलासा, डेटाबेस का संशोधन और सिस्टम का संभावित अधिग्रहण है।
Car rental businesses and organizations utilizing the Car Rental Project software, particularly those hosting their applications on shared hosting environments or without robust input validation measures, are at significant risk. Legacy configurations and deployments that haven't been regularly updated are also vulnerable.
• php / web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; DROP TABLE users;--" | grep "error"• generic web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; SELECT version();--" | grep "MySQL"disclosure
poc
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। तत्काल शमन के लिए एप्लिकेशन को सुरक्षित करने के लिए अतिरिक्त सुरक्षा उपायों को लागू करने की आवश्यकता है। सभी उपयोगकर्ता इनपुट, विशेष रूप से 'fname' तर्क को SQL प्रश्नों में उपयोग करने से पहले मान्य और सैनिटाइज करने की दृढ़ता से अनुशंसा की जाती है। SQL इंजेक्शन को रोकने के लिए तैयार किए गए स्टेटमेंट या संग्रहीत प्रक्रियाओं का उपयोग एक सुरक्षित अभ्यास है। इसके अतिरिक्त, डेटाबेस एक्सेस को केवल आवश्यक उपयोगकर्ताओं और अनुप्रयोगों तक सीमित किया जाना चाहिए, और संदिग्ध पैटर्न के लिए डेटाबेस गतिविधि की निगरानी की जानी चाहिए। परियोजना डेवलपर से संपर्क करके अपडेट का अनुरोध करना और किसी भी सुरक्षा घोषणाओं पर बारीकी से नज़र रखना उचित है।
Actualice el proyecto Car Rental Project a una versión corregida. Verifique las fuentes oficiales del proyecto para obtener instrucciones específicas de actualización y parches de seguridad. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para mitigar el riesgo de futuras inyecciones SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो एक हमलावर को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड डालने की अनुमति देती है, जिससे एप्लिकेशन की सुरक्षा से समझौता हो सकता है।
CVSS 7.3 एक गंभीरता स्कोर है जो इंगित करता है कि भेद्यता गंभीर है और सुरक्षा के लिए महत्वपूर्ण जोखिम पैदा करती है।
सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करें, तैयार किए गए स्टेटमेंट का उपयोग करें, डेटाबेस एक्सेस को सीमित करें और डेटाबेस गतिविधि की निगरानी करें।
वर्तमान में, कोई आधिकारिक फिक्स नहीं है। अपडेट जारी होने तक अनुशंसित शमन उपायों को लागू करें।
अधिक जानकारी और सुरक्षा अपडेट के लिए कार रेंटल प्रोजेक्ट डेवलपर से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।