प्लेटफ़ॉर्म
javascript
घटक
openstatus
में ठीक किया गया
1.0.1
CVE-2026-5808 is a cross-site scripting (XSS) vulnerability affecting openstatusHQ openstatus versions up to 1b678e71a85961ae319cbb214a8eae634059330c. This vulnerability allows an attacker to inject malicious scripts into the application, potentially leading to data theft or account takeover. The vulnerability resides within the Onboarding Endpoint's handling of the callbackURL argument. A patch, identified as 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb, is available.
openstatusHQ openstatus के संस्करण 1b678e71a85961ae319cbb214a8eae634059330c और उससे पहले में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता फ़ाइल apps/dashboard/src/app/(dashboard)/onboarding/client.tsx में एक अज्ञात फ़ंक्शन को प्रभावित करती है, विशेष रूप से ऑनबोर्डिंग एंडपॉइंट घटक में। एक हमलावर callbackURL तर्क को हेरफेर करके इस भेद्यता का फायदा उठा सकता है, जिससे उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट निष्पादित होने की संभावना है। चूंकि openstatus रोलिंग रिलीज़ मॉडल पर काम करता है, इसलिए विशिष्ट प्रभावित संस्करण उपलब्ध नहीं हैं। इस भेद्यता की गंभीरता को CVSS 4.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। हमला दूर से किया जा सकता है, जिससे एक्सपोजर का जोखिम बढ़ जाता है।
XSS भेद्यता ऑनबोर्डिंग एंडपॉइंट घटक में callbackURL इनपुट के अपर्याप्त सत्यापन के कारण उत्पन्न होती है। एक हमलावर इस पैरामीटर में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है, जिसे तब हेरफेर किए गए URL तक पहुंचने पर उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाएगा। यह हमलावर को कुकीज़ चुराने, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या उपयोगकर्ता की ओर से अन्य दुर्भावनापूर्ण क्रियाएं करने की अनुमति दे सकता है। शोषण की दूरस्थ प्रकृति का मतलब है कि हमलावर को इस भेद्यता का फायदा उठाने के लिए सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण की सफलता हमलावर की उपयोगकर्ता को दुर्भावनापूर्ण लिंक पर क्लिक करने या समझौता किए गए वेब पेज पर जाने के लिए बरगलाने की क्षमता पर निर्भर करती है।
Organizations utilizing openstatusHQ openstatus in their operational environments are at risk, particularly those relying on the application for critical workflows or data management. Teams using older, unpatched deployments are especially vulnerable. Shared hosting environments where multiple users share the same openstatus instance could also be affected, as an attacker could potentially compromise other users' accounts.
• javascript / web:
// Check for unusual callbackURL parameters in network requests
// Look for URLs containing suspicious JavaScript code• generic web:
curl -I <openstatus_url>/apps/dashboard/src/app/(dashboard)/onboarding/client.tsx | grep callbackURL• generic web:
# Check access logs for requests with unusual callbackURL parameters
grep 'callbackURL=' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए प्राथमिक शमन openstatusHQ openstatus के नवीनतम उपलब्ध संस्करण में अपडेट करना है। रोलिंग रिलीज़ मॉडल के कारण, अपडेट लगातार लागू किए जाते हैं। नवीनतम संस्करण का उपयोग करने के लिए सुनिश्चित करने के लिए नियमित रूप से संस्करण नोट्स और सिस्टम अपडेट की जांच करें। इसके अतिरिक्त, XSS हमलों के जोखिम को कम करने के लिए इनपुट सत्यापन और सैनिटाइजेशन जैसे सख्त वेब सुरक्षा नीतियों को लागू करें। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करें और अतिरिक्त सुरक्षा परत के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें। इस भेद्यता को प्रभावी ढंग से संबोधित करने के लिए समय पर अपडेट महत्वपूर्ण है।
संशोधित संस्करण (43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb) में अपडेट करें ताकि ऑनबोर्डिंग एंडपॉइंट में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को कम किया जा सके। अपडेट callbackURL तर्क के हेरफेर को ठीक करता है जो दुर्भावनापूर्ण कोड इंजेक्शन की अनुमति देता था। विस्तृत अपडेट निर्देशों के लिए विक्रेता के दस्तावेज़ देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) वेब सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
एक हमलावर इस भेद्यता का उपयोग पासवर्ड या व्यक्तिगत डेटा जैसी गोपनीय जानकारी चुराने या उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने के लिए कर सकता है।
यदि आप अपने ब्राउज़र में असामान्य व्यवहार देखते हैं, जैसे अप्रत्याशित पॉप-अप या अज्ञात वेबसाइटों पर पुनर्निर्देशन, तो आप संक्रमित हो सकते हैं। सुरक्षा पेशेवर से परामर्श लें।
जब तक अपडेट लागू किया जा रहा है, लिंक पर क्लिक करते समय या अपरिचित वेबसाइटों पर जाते समय सावधानी बरतें।
अधिक विवरण के लिए openstatusHQ openstatus के संस्करण नोट्स और सुरक्षा सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।