प्लेटफ़ॉर्म
php
घटक
itsourcecode-construction-management-system
में ठीक किया गया
1.0.1
CVE-2026-5660 itsourcecode Construction Management System में एक SQL Injection भेद्यता है, जो अज्ञात फ़ंक्शन /borrowed_equip.php में emp पैरामीटर के हेरफेर के माध्यम से हमलावरों को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देता है। इस भेद्यता का सफलतापूर्वक शोषण करने से संवेदनशील जानकारी का खुलासा हो सकता है या डेटाबेस में अनधिकृत परिवर्तन हो सकते हैं। यह भेद्यता itsourcecode Construction Management System के संस्करण 1.0.0 से 1.0.0 तक के संस्करणों को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
itsourcecode Construction Management System के संस्करण 1.0 में एक SQL इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता /borrowed_equip.php फ़ाइल में एक अज्ञात फ़ंक्शन में स्थित है, विशेष रूप से 'Parameter Handler' घटक के भीतर। एक हमलावर 'emp' तर्क को हेरफेर करके दुर्भावनापूर्ण SQL कोड इंजेक्ट करके इस दोष का फायदा उठा सकता है। इस भेद्यता की गंभीरता को CVSS 6.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। रिमोट शोषण संभव है, जिसका अर्थ है कि एक हमलावर नेटवर्क एक्सेस के साथ किसी भी स्थान से इस भेद्यता का फायदा उठा सकता है। भेद्यता का सार्वजनिक प्रकटीकरण शोषण के जोखिम को बढ़ाता है, क्योंकि हमलावरों को अब दोष का ज्ञान है और वे शोषण विकसित कर सकते हैं।
/borrowed_equip.php में SQL इंजेक्शन भेद्यता एक रिमोट हमलावर को अंतर्निहित SQL क्वेरी को हेरफेर करने की अनुमति देती है। 'emp' तर्क के माध्यम से दुर्भावनापूर्ण SQL कोड इंजेक्ट करके, हमलावर संभावित रूप से डेटाबेस में संग्रहीत संवेदनशील डेटा तक पहुंच, संशोधित या हटा सकता है। इसमें ग्राहक जानकारी, वित्तीय डेटा या निर्माण परियोजना विवरण शामिल हो सकते हैं। भेद्यता का सार्वजनिक प्रकटीकरण का मतलब है कि हमलावरों के पास यह जानने की जानकारी है कि इसका फायदा कैसे उठाया जाए, जिससे सफल हमले की संभावना बढ़ जाती है। उपलब्ध फिक्स की कमी स्थिति को और बढ़ा देती है, जिससे उपयोगकर्ता शोषण के प्रति संवेदनशील हो जाते हैं।
Construction companies and businesses utilizing the itsourcecode Construction Management System, particularly those with publicly accessible instances or weak security configurations, are at significant risk. Organizations relying on this system for managing project data and financial information are especially vulnerable to data breaches and operational disruptions.
• php: Examine the /borrowedequip.php file for unsanitized use of the 'emp' parameter in SQL queries. Search for patterns like mysqliquery or PDO::query where user input is directly concatenated into the query string.
// Example of vulnerable code
$emp = $_GET['emp'];
$sql = "SELECT * FROM users WHERE username = '$emp';";
mysqli_query($conn, $sql);• generic web: Monitor access logs for requests to /borrowed_equip.php with unusual or malicious-looking values in the 'emp' parameter (e.g., containing single quotes, semicolons, or SQL keywords). • generic web: Use a WAF to detect and block SQL injection attempts targeting the /borrowed_equip.php endpoint. Configure rules to identify common SQL injection patterns and payloads.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, itsourcecode डेवलपर्स ने इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं किया है। itsourcecode Construction Management System के संस्करण 1.0 का उपयोग करने वाले उपयोगकर्ताओं को जोखिम को कम करने के लिए तत्काल कदम उठाने की दृढ़ता से सलाह दी जाती है। इसमें, लेकिन यह सीमित नहीं है, सिस्टम तक पहुंच को प्रतिबंधित करने के लिए नेटवर्क सेगमेंटेशन, फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम को लागू करना, और संदिग्ध गतिविधि के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करना शामिल है। जल्द से जल्द विक्रेता से सुरक्षा अपडेट का अनुरोध करना भी दृढ़ता से अनुशंसित है। पैच जारी होने तक, एप्लिकेशन को असुरक्षित माना जाना चाहिए।
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como medida de seguridad adicional, implemente una validación y saneamiento de entrada robustos para prevenir futuras inyecciones SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक सुरक्षा हमला है जो हमलावरों को डेटाबेस को भेजे गए क्वेरी में हस्तक्षेप करने की अनुमति देता है। वे इसका उपयोग संवेदनशील जानकारी तक पहुंचने, डेटा को संशोधित करने या सर्वर पर कमांड निष्पादित करने के लिए कर सकते हैं।
CVSS (कॉमन भेद्यता स्कोरिंग सिस्टम) सुरक्षा कमजोरियों की गंभीरता का मूल्यांकन करने के लिए एक मानक है। 6.3 का स्कोर मध्यम जोखिम दर्शाता है।
आपको जोखिम को कम करने के लिए तत्काल कदम उठाने चाहिए, जैसे कि नेटवर्क सेगमेंटेशन, फ़ायरवॉल को लागू करना और सिस्टम लॉग की निगरानी करना। आपको सुरक्षा अपडेट का अनुरोध करने के लिए विक्रेता से भी संपर्क करना चाहिए।
वर्तमान में कोई आधिकारिक फिक्स उपलब्ध नहीं है। वर्णित शमन उपाय उपलब्ध सर्वोत्तम विकल्प हैं जब तक कि पैच जारी नहीं किया जाता है।
विफल लॉगिन प्रयासों, अप्रत्याशित डेटा परिवर्तनों या असामान्य नेटवर्क ट्रैफ़िक जैसी संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।