प्लेटफ़ॉर्म
php
घटक
phpgurukul-online-shopping-portal-project
में ठीक किया गया
2.1.1
CVE-2026-5639 PHPGurukul ऑनलाइन शॉपिंग पोर्टल प्रोजेक्ट में एक SQL इंजेक्शन भेद्यता है। यह भेद्यता फ़ाइल /admin/update-image3.php में पैरामीटर हैंडलर फ़ंक्शन को प्रभावित करती है, जिससे हमलावर डेटाबेस को नियंत्रित कर सकते हैं। यह भेद्यता PHPGurukul ऑनलाइन शॉपिंग पोर्टल प्रोजेक्ट संस्करण 2.1 को प्रभावित करती है और इसका शोषण किया जा सकता है। कोई आधिकारिक पैच उपलब्ध नहीं है।
PHPGurukul Online Shopping Portal Project के संस्करण 2.1 में एक SQL इंजेक्शन भेद्यता (CVE-2026-5639) पाई गई है। यह भेद्यता फ़ाइल /admin/update-image3.php में एक अज्ञात फ़ंक्शन को प्रभावित करती है, विशेष रूप से Parameter Handler घटक में। एक हमलावर 'filename' तर्क को हेरफेर करके इस दोष का फायदा उठा सकता है, जिससे पोर्टल के डेटाबेस में दुर्भावनापूर्ण SQL कोड का निष्पादन संभव हो सकता है। भेद्यता की गंभीरता को CVSS पैमाने पर 6.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। शोषण दूरस्थ है, जिसका अर्थ है कि एक हमलावर नेटवर्क एक्सेस के साथ किसी भी स्थान से इस भेद्यता का फायदा उठा सकता है। एक कार्यात्मक शोषण के प्रकाशन से हमलों का जोखिम काफी बढ़ जाता है।
यह भेद्यता Parameter Handler घटक द्वारा फ़ाइल /admin/update-image3.php में 'filename' तर्क को कैसे संभाला जाता है, इसमें निहित है। एक हमलावर इस तर्क में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है, जिसे तब डेटाबेस के खिलाफ निष्पादित किया जाता है। एक कार्यात्मक शोषण के प्रकाशन का मतलब है कि हमलावरों के पास अब इस भेद्यता का फायदा उठाने के लिए एक सिद्ध उपकरण है। यह कमजोर प्रणालियों को लक्षित किए जाने की संभावना को बढ़ाता है, खासकर अगर कोई शमन कदम नहीं उठाया जाता है। भेद्यता की दूरस्थ प्रकृति इसे विशेष रूप से खतरनाक बनाती है, क्योंकि हमलावरों को इसका फायदा उठाने के लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं होती है।
Organizations and individuals using the PHPGurukul Online Shopping Portal Project version 2.1, particularly those hosting their own instances or using shared hosting environments, are at risk. Websites relying on this project for e-commerce functionality are especially vulnerable to data breaches and service disruption.
• php / server:
grep -r 'filename = $_POST['filename']' /var/www/html/admin/update-image3.php• php / server:
journalctl -u php-fpm | grep 'SQL injection attempt'• generic web:
curl -I <affected_url>/admin/update-image3.php?filename='; DROP TABLE users;--disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
फिलहाल, PHPGurukul ने इस भेद्यता के लिए कोई आधिकारिक फिक्स (फिक्स) प्रदान नहीं किया है। सबसे प्रभावी तत्काल शमन उपाय Online Shopping Portal Project के नए संस्करण में अपग्रेड करना है, जब यह उपलब्ध हो। इस बीच, सभी उपयोगकर्ता इनपुट, विशेष रूप से फ़ाइल नामों से संबंधित सभी उपयोगकर्ता इनपुट के लिए सख्त इनपुट सत्यापन और सैनिटाइजेशन को लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, /admin/update-image3.php व्यवस्थापक पैनल तक पहुंच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करना और संदिग्ध पैटर्न के लिए सिस्टम गतिविधि की निगरानी करने से जोखिम को कम करने में मदद मिल सकती है। दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर भी विचार करें।
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee las entradas del usuario, especialmente el parámetro 'filename', para prevenir la inyección SQL. Implemente validación y escape adecuados de los datos antes de utilizarlos en consultas SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह इस भेद्यता के लिए एक अनूठा पहचानकर्ता है, जिसका उपयोग विभिन्न सुरक्षा संदर्भों में इसे ट्रैक और संदर्भित करने के लिए किया जाता है।
यह PHP का उपयोग करके ऑनलाइन शॉपिंग पोर्टल बनाने के लिए एक ओपन-सोर्स प्रोजेक्ट है।
यदि आप Online Shopping Portal Project के संस्करण 2.1 का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। इसकी पुष्टि करने के लिए सुरक्षा ऑडिट करें।
हालांकि कोई विशिष्ट उपकरण नहीं है, वेब भेद्यता स्कैनर सामान्य रूप से SQL इंजेक्शन का पता लगा सकते हैं। भेद्यता के लिए स्रोत कोड की जांच करें।
प्रभावित सिस्टम को अलग करें, सभी उपयोगकर्ता पासवर्ड बदलें, एक फोरेंसिक ऑडिट करें और एक साफ बैकअप से पुनर्स्थापित करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।