प्लेटफ़ॉर्म
php
घटक
phpgurukul-online-shopping-portal-project
में ठीक किया गया
2.1.1
PHPGurukul ऑनलाइन शॉपिंग पोर्टल प्रोजेक्ट के संस्करण 2.1 में एक SQL इंजेक्शन भेद्यता पाई गई है। यह भेद्यता /cancelorder.php फ़ाइल में oid पैरामीटर के हेरफेर के माध्यम से हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने या बदलने की अनुमति दे सकती है। यह भेद्यता दूर से शुरू की जा सकती है और सार्वजनिक रूप से उपलब्ध है। अभी तक कोई आधिकारिक पैच जारी नहीं किया गया है।
PHPGurukul Online Shopping Portal Project 2.1 में एक SQL इंजेक्शन भेद्यता (vulnerability) की पहचान की गई है। यह भेद्यता Parameter Handler घटक के /cancelorder.php फ़ाइल में मौजूद है। हमलावर oid तर्क (argument) में हेरफेर करके दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकते हैं, जिससे डेटाबेस की अखंडता (integrity) और गोपनीयता (confidentiality) खतरे में पड़ सकती है। CVSS स्कोर 6.3 है, जो मध्यम जोखिम दर्शाता है। एक शोषण (exploit) की सार्वजनिक उपलब्धता हमले के जोखिम को काफी बढ़ा देती है। इससे हमलावर संवेदनशील जानकारी तक पहुंच सकते हैं, डेटा संशोधित कर सकते हैं या सिस्टम पर नियंत्रण भी प्राप्त कर सकते हैं।
यह भेद्यता /cancelorder.php के भीतर oid तर्क के प्रबंधन के तरीके में निहित है। एक हमलावर इस तर्क में हेरफेर करके SQL कोड इंजेक्ट कर सकता है, जिसे तब डेटाबेस के खिलाफ निष्पादित किया जाता है। शोषण की दूरस्थ प्रकृति और इसकी सार्वजनिक उपलब्धता के कारण, हमले का जोखिम काफी अधिक है। हमलावर इसका उपयोग ग्राहक जानकारी चुराने, इन्वेंट्री को संशोधित करने या वेबसाइट के संचालन को बाधित करने के लिए कर सकते हैं। तत्काल फिक्स की कमी जोखिम को कम करने के लिए त्वरित कार्रवाई की आवश्यकता होती है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
फिलहाल, PHPGurukul ने इस भेद्यता के लिए कोई आधिकारिक फिक्स जारी नहीं किया है। तत्काल और सबसे प्रभावी शमन (mitigation) /cancelorder.php फ़ाइल के माध्यम से ऑर्डर रद्द करने की कार्यक्षमता को अस्थायी रूप से अक्षम करना है। व्यवस्थापकों को दृढ़ता से सलाह दी जाती है कि जब यह उपलब्ध हो जाए तो Online Shopping Portal Project के नए संस्करण में अपग्रेड करें। सुरक्षित कोडिंग प्रथाओं को लागू करना, जैसे कि पैरामीटराइज़्ड क्वेरी या संग्रहीत प्रक्रियाओं का उपयोग करना, भविष्य की SQL इंजेक्शन भेद्यताओं को रोकने में मदद कर सकता है। सर्वर लॉग की सक्रिय रूप से निगरानी करना भी महत्वपूर्ण है ताकि संदिग्ध गतिविधि का पता चल सके।
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cancelorder.php. Verifique y sanee las entradas del usuario, especialmente el argumento 'oid', para prevenir la ejecución de código SQL malicioso. Implemente consultas parametrizadas o procedimientos almacenados para mitigar el riesgo de inyección SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVSS स्कोर 6.3 मध्यम गंभीरता स्तर को इंगित करता है। इसका मतलब है कि यदि शोषण किया जाता है तो भेद्यता का महत्वपूर्ण प्रभाव पड़ सकता है, लेकिन इसे महत्वपूर्ण नहीं माना जाता है।
यदि यह कार्यक्षमता आवश्यक है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) और घुसपैठ का पता लगाने वाले सिस्टम (IDS) जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
पैरामीटराइज़्ड क्वेरी या संग्रहीत प्रक्रियाओं का उपयोग करें, सभी उपयोगकर्ता इनपुट को मान्य और एस्केप करें और अपने सॉफ़्टवेयर को अपडेट रखें।
कई भेद्यता स्कैनिंग उपकरण हैं जो SQL इंजेक्शन भेद्यताओं की पहचान करने में मदद कर सकते हैं, जैसे OWASP ZAP और Burp Suite।
आप PHPGurukul डेवलपर से संपर्क कर सकते हैं या ऑनलाइन सुरक्षा मंचों पर सहायता प्राप्त कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।