प्लेटफ़ॉर्म
php
घटक
itsourcecode
में ठीक किया गया
1.0.1
CVE-2026-5719 itsourcecode Construction Management System में एक SQL Injection भेद्यता है, जो /borrowedtool.php फ़ाइल में एक अज्ञात फ़ंक्शन को प्रभावित करती है। इस भेद्यता का सफलतापूर्वक शोषण करने से हमलावर डेटाबेस तक अनधिकृत पहुंच प्राप्त कर सकते हैं, जिससे संवेदनशील जानकारी का खुलासा या डेटा में छेड़छाड़ हो सकती है। यह भेद्यता itsourcecode Construction Management System के संस्करण 1.0.0 से 1.0.0 तक के संस्करणों को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
itsourcecode Construction Management System के संस्करण 1.0 में एक SQL इंजेक्शन भेद्यता (vulnerability) पाई गई है। यह भेद्यता /borrowedtool.php फ़ाइल में एक अज्ञात फ़ंक्शन में मौजूद है और तर्क कोड में हेरफेर करके इसका फायदा उठाया जा सकता है। एक दूरस्थ हमलावर इस भेद्यता का उपयोग दुर्भावनापूर्ण SQL प्रश्नों को निष्पादित करने के लिए कर सकता है, जिससे संभावित रूप से डेटाबेस की गोपनीयता और अखंडता से समझौता हो सकता है। प्रभाव में डेटा का रिसाव, डेटा का संशोधन या यहां तक कि सिस्टम का नियंत्रण शामिल हो सकता है। एक कार्यात्मक शोषण (exploit) के प्रकाशन से लक्षित हमलों का जोखिम काफी बढ़ जाता है। आधिकारिक फिक्स (fix) की अनुपस्थिति एक गहन मूल्यांकन और वैकल्पिक शमन (mitigation) उपायों के कार्यान्वयन की आवश्यकता होती है।
/borrowedtool.php में SQL इंजेक्शन भेद्यता एक दूरस्थ हमलावर को फ़ंक्शन के तर्कों में हेरफेर करने की अनुमति देती है ताकि दुर्भावनापूर्ण SQL कोड डाला जा सके। एक कार्यात्मक शोषण (exploit) के प्रकाशन का मतलब है कि हमलावरों के पास पहले से ही इस भेद्यता का फायदा उठाने के लिए एक सिद्ध उपकरण है, जिससे स्वचालित और लक्षित हमलों का जोखिम काफी बढ़ जाता है। शोषण संभवतः फ़ंक्शन के इनपुट पैरामीटर में SQL स्टेटमेंट इंजेक्ट करने पर निर्भर करता है, जिससे हमलावर डेटाबेस पर मनमाना कमांड निष्पादित करने में सक्षम हो जाता है। इनपुट सत्यापन की अपर्याप्तता इस भेद्यता का मूल कारण है। उपयोगकर्ताओं को सलाह दी जाती है कि जब तक शमन उपाय लागू नहीं हो जाते, तब तक प्रभावित फ़ंक्शन को अस्थायी रूप से अक्षम कर दें यदि यह आवश्यक नहीं है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि कोई आधिकारिक फिक्स (fix: none) प्रदान नहीं किया गया है, इसलिए तत्काल निवारक उपाय करने की पुरजोर अनुशंसा की जाती है। इनमें शामिल हैं, लेकिन इन्हीं तक सीमित नहीं हैं, भविष्य में उपलब्ध होने पर सुरक्षित संस्करण में अपग्रेड करना, दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करना, सभी उपयोगकर्ता इनपुट का कड़ाई से सत्यापन और स्वच्छता करना और डेटाबेस खातों पर न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना। सिस्टम लॉग की सक्रिय रूप से निगरानी करना महत्वपूर्ण है ताकि संदिग्ध गतिविधि का पता चल सके। इसके अतिरिक्त, अन्य संभावित कमजोरियों की पहचान और सुधार करने के लिए स्रोत कोड का व्यापक सुरक्षा ऑडिट करने की सिफारिश की जाती है। आधिकारिक फिक्स की अनुपस्थिति सिस्टम प्रशासकों पर अपने डेटा की सुरक्षा करने की अधिक जिम्मेदारी डालती है।
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como explotación publicada, se recomienda aplicar la corrección lo antes posible para mitigar el riesgo de inyección SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह इस भेद्यता के लिए एक अनूठा पहचानकर्ता है, जिसका उपयोग सुरक्षा रिपोर्ट में इसे ट्रैक और संदर्भित करने के लिए किया जाता है।
यह एक प्रकार का हमला है जो हमलावरों को डेटाबेस तक पहुंचने या हेरफेर करने के लिए एप्लिकेशन में दुर्भावनापूर्ण SQL कोड डालने की अनुमति देता है।
अनुशंसित शमन उपायों को लागू करें, अपने सिस्टम की निगरानी संदिग्ध गतिविधि के लिए करें और संभावित सुरक्षा अपडेट के बारे में जानकारी रखें।
प्रदान की गई जानकारी के अनुसार, वर्तमान में कोई आधिकारिक फिक्स उपलब्ध नहीं है (fix: none)।
सभी उपयोगकर्ता इनपुट को मान्य और साफ करें, पैरामीटरयुक्त प्रश्नों या संग्रहीत प्रक्रियाओं का उपयोग करें, न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें और अपने सॉफ़्टवेयर को अद्यतित रखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।