प्लेटफ़ॉर्म
php
घटक
phpgurukul-online-course-registration
में ठीक किया गया
3.1.1
CVE-2026-5814 describes a SQL Injection vulnerability affecting PHPGurukul Online Course Registration versions 3.1 through 3.1. This flaw allows attackers to manipulate SQL queries through the 'regno' parameter within the /admin/check_availability.php file. Successful exploitation could result in unauthorized data access or modification. A patch is expected to address this issue.
PHPGurukul Online Course Registration संस्करण 3.1 में एक SQL इंजेक्शन भेद्यता का पता चला है। यह दोष फ़ाइल /admin/check_availability.php में मौजूद है और regno तर्क में हेरफेर करके इसका शोषण किया जाता है। एक दूरस्थ हमलावर इस भेद्यता का उपयोग डेटाबेस के खिलाफ दुर्भावनापूर्ण SQL प्रश्नों को निष्पादित करने के लिए कर सकता है, जिससे संग्रहीत जानकारी की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। भेद्यता की गंभीरता को CVSS पैमाने पर 7.3 के रूप में रेट किया गया है। शोषण का सार्वजनिक प्रकटीकरण हमलों के जोखिम को काफी बढ़ाता है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं द्वारा शोषण के प्रतिकृति और अनुकूलन को सुविधाजनक बनाता है। एक आधिकारिक फिक्स की अनुपस्थिति का मतलब है कि प्रभावित सिस्टम तब तक कमजोर रहेंगे जब तक कि एक अपडेट या पैच लागू नहीं किया जाता है।
यह भेद्यता PHPGurukul Online Course Registration 3.1 सिस्टम में /admin/check_availability.php फ़ाइल में मौजूद है। एक हमलावर इस भेद्यता का उपयोग फ़ाइल को दुर्भावनापूर्ण HTTP अनुरोध भेजकर और SQL कोड को इंजेक्ट करने के लिए regno पैरामीटर को हेरफेर करके कर सकता है। यह शोषण दूरस्थ रूप से एक्सेसिबल है, जिसका अर्थ है कि हमलावर को शोषण करने के लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण का सार्वजनिक प्रकटीकरण विभिन्न तकनीकी कौशल वाले हमलावरों द्वारा इसके उपयोग को सुविधाजनक बनाता है। आधिकारिक फिक्स की अनुपस्थिति प्रभावित सिस्टम को हमलावरों के लिए एक आकर्षक लक्ष्य बनाती है।
Organizations and individuals using PHPGurukul Online Course Registration version 3.1 are at risk. This includes educational institutions, training providers, and anyone hosting or using this software for online course management. Shared hosting environments are particularly vulnerable, as they may be difficult to patch independently.
• php / web:
curl -s -X POST "http://<target>/admin/check_availability.php?regno='; DROP TABLE users;--" | grep "Error"• generic web:
curl -s -X POST "http://<target>/admin/check_availability.php?regno='; SELECT version();--" | grep "MySQL"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि डेवलपर द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है, इसलिए तत्काल शमन के लिए निवारक उपायों की आवश्यकता है। हम /admin/check_availability.php फ़ाइल को अस्थायी रूप से अक्षम करने या केवल अधिकृत और विश्वसनीय उपयोगकर्ताओं तक पहुंच को प्रतिबंधित करने की दृढ़ता से अनुशंसा करते हैं। सभी उपयोगकर्ता इनपुट, विशेष रूप से regno तर्क का मजबूत इनपुट सत्यापन और सैनिटाइजेशन लागू करना भविष्य के SQL इंजेक्शन को रोकने के लिए महत्वपूर्ण है। स्रोत कोड और सिस्टम कॉन्फ़िगरेशन का नियमित सुरक्षा ऑडिट करने से समान कमजोरियों की पहचान और सुधार करने में मदद मिल सकती है। यदि उपलब्ध हो, तो आधिकारिक समाधान जारी होने पर नवीनतम सॉफ़्टवेयर संस्करण में अपग्रेड करने पर विचार करें। डेटाबेस से संबंधित संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करें।
Actualice el plugin PHPGurukul Online Course Registration a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las fuentes oficiales del proveedor para obtener instrucciones específicas de actualización y parches de seguridad. Implemente validaciones y escapes adecuados en la entrada del usuario para prevenir futuras inyecciones SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला है जो एक हमलावर को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड डालने की अनुमति देता है, जिससे उन्हें डेटा तक पहुंचने, संशोधित करने या हटाने की अनुमति मिल सकती है।
यदि आप PHPGurukul Online Course Registration संस्करण 3.1 का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। डेटाबेस से संबंधित त्रुटियों के लिए अपने सिस्टम लॉग की निगरानी करें।
यदि आप फ़ाइल को अक्षम नहीं कर सकते हैं, तो सभी उपयोगकर्ता इनपुट, विशेष रूप से regno तर्क का मजबूत इनपुट सत्यापन और सैनिटाइजेशन लागू करें।
ऐसे कई सुरक्षा उपकरण हैं जो आपको SQL इंजेक्शन से अपने सिस्टम को सुरक्षित करने में मदद कर सकते हैं, जैसे वेब एप्लिकेशन फ़ायरवॉल (WAF) और भेद्यता स्कैनर।
वर्तमान में आधिकारिक फिक्स के लिए कोई अनुमानित तिथि नहीं है। नवीनतम जानकारी के लिए डेवलपर की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।