प्लेटफ़ॉर्म
php
घटक
phpgurukul-online-shopping-portal-project
में ठीक किया गया
2.1.1
CVE-2026-5635 PHPGurukul Online Shopping Portal Project में एक SQL Injection भेद्यता है, जो हमलावरों को डेटाबेस के साथ हस्तक्षेप करने की अनुमति देती है। इस भेद्यता का शोषण cid पैरामीटर के माध्यम से /categorywise-products.php फ़ाइल में किया जा सकता है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या डेटाबेस में अनधिकृत परिवर्तन हो सकते हैं। यह भेद्यता PHPGurukul Online Shopping Portal Project के संस्करण 2.1 को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
PHPGurukul Online Shopping Portal Project 2.1 में एक SQL इंजेक्शन भेद्यता (vulnerability) पाई गई है। यह भेद्यता /categorywise-products.php फ़ाइल में Parameter Handler घटक में मौजूद है, जो cid तर्क के अनुचित प्रबंधन के कारण है। यह एक दूरस्थ हमलावर को मनमाना SQL क्वेरी निष्पादित करने की अनुमति देता है, जिससे डेटा उल्लंघन, संशोधन या विलोपन हो सकता है। उपयोगकर्ता डेटा, उत्पाद विवरण और ऑर्डर इतिहास जैसे संवेदनशील जानकारी से समझौता किया जा सकता है। इस भेद्यता को CVSS पैमाने पर 6.3 के रूप में रेट किया गया है। सफल शोषण सिस्टम की अखंडता और गोपनीयता को गंभीर रूप से खतरे में डाल सकता है, जिससे ग्राहकों का विश्वास और व्यवसाय की प्रतिष्ठा को नुकसान हो सकता है।
इस भेद्यता को सार्वजनिक रूप से उजागर किया गया है, जिसका अर्थ है कि हमलावरों को पहले से ही इसका फायदा उठाने का तरीका पता है। इससे Online Shopping Portal Project के कमजोर संस्करण को चलाने वाले सिस्टम को लक्षित हमलों का जोखिम काफी बढ़ जाता है। इस भेद्यता की दूरस्थ प्रकृति का मतलब है कि हमलावर इंटरनेट एक्सेस के साथ कहीं से भी इसका फायदा उठा सकते हैं। जोखिम को कम करने के लिए तत्काल कार्रवाई की दृढ़ता से सलाह दी जाती है, क्योंकि वास्तविक शोषण की संभावना है। आधिकारिक पैच की कमी स्थिति को और बढ़ा देती है, जिससे मैनुअल शमन और भी महत्वपूर्ण हो जाता है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
फिलहाल, PHPGurukul ने इस भेद्यता के लिए कोई आधिकारिक फिक्स जारी नहीं किया है। तत्काल और सबसे प्रभावी शमन (mitigation) /categorywise-products.php में प्रभावित कार्यक्षमता को अस्थायी रूप से अक्षम करना है जब तक कि एक अपडेट उपलब्ध न हो। किसी भी अन्य संभावित SQL इंजेक्शन भेद्यताओं की पहचान करने और उनका समाधान करने के लिए गहन कोड ऑडिट की दृढ़ता से अनुशंसा की जाती है। SQL क्वेरी में उपयोग किए जाने वाले सभी उपयोगकर्ता इनपुट, विशेष रूप से पैरामीटर का मजबूत सत्यापन और सैनिटाइजेशन महत्वपूर्ण है। SQL इंजेक्शन को रोकने के लिए तैयार किए गए स्टेटमेंट या संग्रहीत प्रक्रियाओं का उपयोग करने पर विचार करें। संदिग्ध गतिविधि के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करें।
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas del usuario, especialmente el parámetro 'cid', para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक सुरक्षा भेद्यता है जो हमलावरों को SQL क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे उन्हें अनधिकृत डेटा एक्सेस या डेटाबेस को संशोधित करने की क्षमता मिल सकती है।
अपनी वेबसाइट का सुरक्षा ऑडिट करें, विशेष रूप से /categorywise-products.php फ़ाइल और इनपुट पैरामीटर को कैसे संभाला जाता है, इस पर ध्यान दें। संभावित समस्याओं की पहचान करने के लिए भेद्यता स्कैनिंग टूल का उपयोग करें।
प्रभावित सिस्टम को तुरंत नेटवर्क से अलग करें। समझौते की सीमा निर्धारित करने के लिए एक फोरेंसिक जांच करें। एक साफ बैकअप से डेटा पुनर्स्थापित करें। भविष्य के हमलों को रोकने के लिए अतिरिक्त सुरक्षा उपाय लागू करें।
कई भेद्यता स्कैनिंग टूल और स्थिर कोड विश्लेषण टूल हैं जो SQL इंजेक्शन भेद्यताओं की पहचान करने और ठीक करने में मदद कर सकते हैं। आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर भी विचार कर सकते हैं।
आप NIST के राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे सुरक्षा भेद्यता डेटाबेस में CVE-2026-5635 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।