प्लेटफ़ॉर्म
php
घटक
online-shoe-store
में ठीक किया गया
1.0.1
CVE-2026-5647 कोड-प्रोजेक्ट्स ऑनलाइन शू स्टोर के संस्करण 1.0.0 से 1.0 तक के संस्करणों में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से उपयोगकर्ता डेटा से समझौता हो सकता है या उपयोगकर्ता को अनधिकृत कार्यों को करने के लिए हेरफेर किया जा सकता है। भेद्यता /admin/admin_feature.php फ़ाइल में मौजूद है और इसे दूर से शोषण किया जा सकता है। वर्तमान में, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
code-projects के 'Online Shoe Store' संस्करण 1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का पता चला है, जो विशेष रूप से /admin/adminfeature.php फ़ाइल में 'उत्पाद जोड़ें पृष्ठ' घटक के भीतर स्थित है। यह भेद्यता एक हमलावर को productname तर्क में हेरफेर करके दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है। चूंकि यह एक रिमोट भेद्यता है, इसलिए एक हमलावर सिस्टम तक सीधी पहुंच के बिना इस कमजोरी का फायदा उठा सकता है। जोखिम महत्वपूर्ण है क्योंकि शोषण सार्वजनिक है, जिसका अर्थ है कि हमलावर ऑनलाइन स्टोर की सुरक्षा से समझौता करने के लिए सक्रिय रूप से इसका उपयोग कर सकते हैं। दुर्भावनापूर्ण स्क्रिप्ट का इंजेक्शन संवेदनशील जानकारी की चोरी, उपयोगकर्ताओं को धोखाधड़ी वाली वेबसाइटों पर पुनर्निर्देशित करने या वेब पेज की सामग्री को संशोधित करने का कारण बन सकता है।
यह भेद्यता 'Online Shoe Store' 1.0 के 'उत्पाद जोड़ें' कार्यक्षमता के भीतर /admin/adminfeature.php फ़ाइल में स्थित है। एक हमलावर productname तर्क में इंजेक्ट किए गए JavaScript कोड के साथ एक दुर्भावनापूर्ण HTTP अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। अपर्याप्त इनपुट सत्यापन के कारण, यह कोड पृष्ठ पर जाने वाले उपयोगकर्ता के ब्राउज़र में निष्पादित होता है, जिससे हमलावर मनमाना स्क्रिप्ट निष्पादित करने में सक्षम हो जाता है। शोषण सार्वजनिक होने का तथ्य इंगित करता है कि इस भेद्यता का फायदा उठाने के लिए उपकरण और तकनीकें उपलब्ध हैं, जिससे सफल हमलों का जोखिम बढ़ जाता है। आधिकारिक फिक्स की अनुपस्थिति स्थिति को बढ़ा देती है, जिसके लिए प्रशासकों को तत्काल कार्रवाई करने की आवश्यकता होती है।
Administrators of Online Shoe Store installations, particularly those using version 1.0, are at significant risk. Shared hosting environments where multiple users share the same server and database are especially vulnerable, as a compromised account could be used to launch attacks against other users.
• php: Examine /admin/adminfeature.php for unsanitized use of the productname variable in output contexts (e.g., echo, print).
• generic web: Monitor access logs for requests to /admin/adminfeature.php with unusual or suspicious values in the productname parameter (e.g., containing <script> tags or event handlers).
• generic web: Use curl to test the endpoint with a simple XSS payload: curl 'http://example.com/admin/adminfeature.php?productname=<script>alert(1)</script>' and check for an alert box.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, इस CVE-2026-5647 भेद्यता के लिए कोई आधिकारिक फिक्स जारी नहीं किया गया है। हालांकि, 'Online Shoe Store' 1.0 के प्रशासकों को तत्काल निवारक उपाय करने की दृढ़ता से सलाह दी जाती है। इनमें विशेष रूप से product_name फ़ील्ड सहित सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और सैनिटाइजेशन शामिल है। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से XSS जोखिम को कम करने में मदद मिल सकती है। इसके अतिरिक्त, संदिग्ध गतिविधि के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करने की सिफारिश की जाती है। चूंकि डेवलपर से कोई समाधान प्रदान नहीं किया गया है, इसलिए ऑनलाइन स्टोर और उसके उपयोगकर्ताओं की सुरक्षा के लिए इन सुरक्षा उपायों को लागू करना एक महत्वपूर्ण जिम्मेदारी बन जाती है।
Actualice el plugin Online Shoe Store a la última versión disponible para mitigar la vulnerabilidad de XSS. Verifique y sanee todas las entradas de usuario, especialmente el campo 'product_name', para prevenir la inyección de código malicioso. Implemente medidas de seguridad adicionales, como la codificación de salida, para proteger contra ataques XSS.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप 'Online Shoe Store' 1.0 का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। संदिग्ध गतिविधि के लिए सर्वर लॉग की जांच करें और नेटवर्क ट्रैफ़िक की निगरानी करें।
CSP एक सुरक्षा तंत्र है जो आपको यह नियंत्रित करने की अनुमति देता है कि ब्राउज़र कौन से संसाधन लोड कर सकता है, जिससे XSS हमलों का जोखिम कम हो जाता है।
आप OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) जैसी वेबसाइटों पर XSS के बारे में अधिक जानकारी पा सकते हैं।
हाल ही में सुरक्षा पैच प्राप्त करने वाले अधिक सुरक्षित और अद्यतित ई-कॉमर्स प्लेटफॉर्म पर माइग्रेट करने पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।