प्लेटफ़ॉर्म
php
घटक
sales-and-inventory-system
में ठीक किया गया
1.0.1
Sales and Inventory System के संस्करण 1.0.0 से 1.0 तक में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। शोषण पहले से ही सार्वजनिक रूप से उपलब्ध है, जिससे तत्काल कार्रवाई की आवश्यकता है। इस भेद्यता को दूर करने के लिए नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है।
यह XSS भेद्यता हमलावरों को Sales and Inventory System के उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। हमलावर उपयोगकर्ता के सत्र कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी प्राप्त कर सकते हैं, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए हमलावर आसानी से इस भेद्यता का फायदा उठा सकते हैं। यह भेद्यता विशेष रूप से उन संगठनों के लिए जोखिम पैदा करती है जो Sales and Inventory System का उपयोग महत्वपूर्ण डेटा को प्रबंधित करने के लिए करते हैं। एक सफल हमले से डेटा उल्लंघन, वित्तीय नुकसान और प्रतिष्ठा को नुकसान हो सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और शोषण उपलब्ध है, जिससे इसका शोषण होने की संभावना बढ़ जाती है। CVE को 2026-04-08 को प्रकाशित किया गया था। इस भेद्यता को अभी तक CISA KEV में शामिल नहीं किया गया है, लेकिन इसकी कम CVSS स्कोर के बावजूद, सार्वजनिक शोषण की उपलब्धता के कारण इसे निगरानी में रखना महत्वपूर्ण है।
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Sales and Inventory System को नवीनतम संस्करण में तुरंत अपडेट करना सबसे अच्छा तरीका है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /delete.php फ़ाइल के लिए इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू की जा सकती है। इसके अतिरिक्त, सभी उपयोगकर्ता इनपुट को सावधानीपूर्वक मान्य और सैनिटाइज किया जाना चाहिए ताकि दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोका जा सके। अस्थायी रूप से /delete.php फ़ाइल को अक्षम करने पर भी विचार किया जा सकता है यदि यह कार्यक्षमता तत्काल आवश्यक नहीं है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, /delete.php पर एक साधारण XSS पेलोड का परीक्षण करके।
Sales and Inventory System को एक ठीक किए गए संस्करण में अपडेट करें। विशिष्ट अपडेट निर्देशों के लिए विक्रेता के दस्तावेज़ की जांच करें। XSS हमलों के जोखिम को कम करने के लिए इनपुट सत्यापन और आउटपुट एन्कोडिंग जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5810 Sales and Inventory System के /delete.php फ़ाइल में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है।
यदि आप Sales and Inventory System के संस्करण 1.0.0 से 1.0 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Sales and Inventory System को नवीनतम संस्करण में तुरंत अपडेट करें।
हाँ, शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए इसका सक्रिय रूप से शोषण होने की संभावना है।
आधिकारिक सलाहकार SourceCodester वेबसाइट पर उपलब्ध होना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।