प्लेटफ़ॉर्म
php
घटक
online-hotel-booking
में ठीक किया गया
1.0.1
CVE-2026-5705 कोड-प्रोजेक्ट्स ऑनलाइन होटल बुकिंग के संस्करण 1.0.0-1.0 में एक सुरक्षा भेद्यता है, जो क्रॉस-साइट स्क्रिप्टिंग (XSS) से संबंधित है। इस भेद्यता का शोषण करने से हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या वेबसाइट की कार्यक्षमता में बदलाव किया जा सकता है। यह भेद्यता बुकिंग एंडपॉइंट के /booknow.php फाइल में मौजूद है और इसे दूर से ही अंजाम दिया जा सकता है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
code-projects Online Hotel Booking के संस्करण 1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता /booknow.php फ़ाइल में स्थित है, विशेष रूप से 'Booking Endpoint' घटक में roomname तर्क के प्रबंधन में। एक हमलावर इस तर्क को हेरफेर करके दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। इस भेद्यता का सफल शोषण एक हमलावर को सत्र कुकीज़ चुराने, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या उपयोगकर्ताओं को दिखाई देने वाली वेब पेज सामग्री को संशोधित करने की अनुमति दे सकता है, जिससे एप्लिकेशन की अखंडता और उपयोगकर्ता डेटा की गोपनीयता से समझौता होता है। इस भेद्यता की गंभीरता को CVSS 4.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। एक शोषण का सार्वजनिक उपलब्धता जोखिम को बढ़ाती है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं द्वारा शोषण को सुविधाजनक बनाती है।
भेद्यता /booknow.php फ़ाइल में roomname पैरामीटर को हेरफेर करके शोषण किया जाता है। एक हमलावर इस पैरामीटर में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है, जिसे तब पृष्ठ तक पहुंचने पर उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाता है। चूंकि शोषण रिमोट है, इसलिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं होती है। शोषण के सार्वजनिक उपलब्धता का मतलब है कि हमलावर मौजूदा उपकरणों और तकनीकों का उपयोग करके जल्दी से भेद्यता का शोषण कर सकते हैं। शोषण का प्रभाव प्रभावित उपयोगकर्ता के विशेषाधिकार और उनकी पहुंच वाले डेटा की संवेदनशीलता के आधार पर भिन्न हो सकता है। एप्लिकेशन में किसी भी अन्य संभावित भेद्यता की पहचान करने और उन्हें ठीक करने के लिए व्यापक सुरक्षा ऑडिट की सिफारिश की जाती है।
Hotels and businesses utilizing Online Hotel Booking version 1.0, particularly those with publicly accessible booking endpoints, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also vulnerable, as an attacker could potentially compromise other sites on the same server.
• php / web:
curl -I 'http://your-hotel-booking-site.com/booknow.php?roomname=<script>alert("XSS")</script>' | grep -i 'content-type'• generic web:
grep -r "roomname" /var/log/apache2/access.log | grep "<script"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, CVE-2026-5705 के लिए डेवलपर द्वारा कोई आधिकारिक फिक्स (फिक्स) प्रदान नहीं किया गया है। हालाँकि, शोषण के जोखिम को कम करने के लिए तत्काल शमन उपाय करने की सिफारिश की जाती है। इन उपायों में /booknow.php में roomname तर्क सहित सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और सैनिटाइजेशन शामिल है। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से ब्राउज़र द्वारा लोड किए जा सकने वाले संसाधनों को नियंत्रित करके XSS हमलों को कम करने में मदद मिल सकती है। नेटवर्क ट्रैफ़िक की निगरानी करना और अंतर्निहित ऑपरेटिंग सिस्टम और सॉफ़्टवेयर लाइब्रेरी को अपडेट रखना भी अनुशंसित अभ्यास हैं। डेवलपर 'code-projects' से संपर्क करके सुरक्षा अपडेट का अनुरोध करने की पुरजोर सिफारिश की जाती है।
प्लगइन Online Hotel Booking को नवीनतम उपलब्ध संस्करण में अपडेट करें ताकि /booknow.php एंडपॉइंट पर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को कम किया जा सके। विशिष्ट अपडेट निर्देशों के लिए प्लगइन के आधिकारिक स्रोत की जांच करें। भविष्य के XSS हमलों को रोकने के लिए उपयोगकर्ता इनपुट के लिए उचित सत्यापन और एस्केप लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
इनपुट सत्यापन और सैनिटाइजेशन को लागू करें, कंटेंट सिक्योरिटी पॉलिसी (CSP) का उपयोग करें और अपने सॉफ़्टवेयर को अपडेट रखें।
प्रभावित सिस्टम को अलग करें, घटना की जांच करें और आवश्यक शमन उपाय लागू करें।
ऐसे कई भेद्यता स्कैनिंग उपकरण हैं जो आपकी वेबसाइट पर XSS भेद्यताओं की पहचान करने में मदद कर सकते हैं।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।