Cyber-III Student-Management-System एडमिन ऐड एंडपॉइंट notice.php क्रॉस साइट स्क्रिप्टिंग

यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। इसका उपयोग उपयोगकर्ता को नकली लॉगिन पृष्ठों पर रीडायरेक्ट करने, कुकीज़ चुराने या अन्य दुर्भावनापूर्ण क्रियाएं करने के लिए किया जा सकता है। चूंकि भेद्यता दूरस्थ रूप से शोषण योग्य है, इसलिए हमलावर को सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं होती है। सार्वजनिक रूप से उपलब्ध शोषण के कारण, इस भेद्यता का शोषण किया जाना आसान है। इस भेद्यता का उपयोग संवेदनशील डेटा, जैसे कि छात्र रिकॉर्ड, ग्रेड और व्यक्तिगत जानकारी तक पहुंचने के लिए किया जा सकता है।

Administrators and users with access to the /admin/Add%20notice/notice.php endpoint are at the highest risk. Shared hosting environments running Cyber-III Student-Management-System are particularly vulnerable, as they may lack the ability to quickly apply security updates or implement custom mitigations.

• php: Examine access logs for requests to /admin/Add%20notice/notice.php with unusual or suspicious values in the $SERVER['PHPSELF'] parameter. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).

 grep "/admin/Add%20notice/notice.php.*$_SERVER['PHP_SELF']=[^a-zA-Z0-9]" /var/log/apache2/access.log

1. 2026-04-06Disclosure

   disclosure

1. आरक्षित2026-04-05
2. प्रकाशित2026-04-06
3. EPSS अद्यतन2026-04-13

चूंकि विशिष्ट संस्करण विवरण उपलब्ध नहीं हैं, इसलिए तत्काल शमन उपाय लागू करना महत्वपूर्ण है। सबसे पहले, सभी इनपुट को ठीक से सैनिटाइज और वैलिडेट करें। विशेष रूप से, $SERVER['PHPSELF'] तर्क को दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोकने के लिए सावधानीपूर्वक जांचा जाना चाहिए। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करना भी सहायक हो सकता है जो XSS हमलों को ब्लॉक कर सकता है। इसके अतिरिक्त, सुनिश्चित करें कि सभी सॉफ़्टवेयर और लाइब्रेरी नवीनतम सुरक्षा पैच के साथ अपडेट किए गए हैं। भेद्यता के लिए लगातार निगरानी करें और किसी भी संदिग्ध गतिविधि के लिए लॉग की समीक्षा करें। अपडेट जारी होने पर, उन्हें तुरंत लागू करें।