प्लेटफ़ॉर्म
php
घटक
online-shoe-store
में ठीक किया गया
1.0.1
ऑनलाइन शू स्टोर के संस्करण 1.0.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति दे सकती है, जिससे उपयोगकर्ता डेटा से समझौता हो सकता है या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है। भेद्यता /admin/admin_running.php फ़ाइल में मौजूद है और इसे दूर से शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध होने के कारण, तत्काल कार्रवाई की आवश्यकता है।
यह XSS भेद्यता हमलावरों को ऑनलाइन शू स्टोर के व्यवस्थापकों या उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। एक सफल शोषण के परिणामस्वरूप, हमलावर संवेदनशील जानकारी चुरा सकते हैं, जैसे कि उपयोगकर्ता नाम, पासवर्ड और क्रेडिट कार्ड विवरण। वे उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित भी कर सकते हैं या वेबसाइट की उपस्थिति को बदल सकते हैं। चूंकि भेद्यता दूर से शोषण योग्य है, इसलिए इसका संभावित प्रभाव व्यापक है, खासकर यदि ऑनलाइन शू स्टोर में बड़ी संख्या में उपयोगकर्ता हैं। यह भेद्यता अन्य XSS भेद्यताओं के समान है, जहां हमलावर उपयोगकर्ता इनपुट को ठीक से सैनिटाइज करने में विफलताओं का फायदा उठाते हैं।
CVE-2026-5834 को 2026-04-09 को सार्वजनिक रूप से खुलासा किया गया था और यह सार्वजनिक रूप से शोषण योग्य है। भेद्यता की गंभीरता को 2.4 (LOW) के रूप में वर्गीकृत किया गया है। CISA KEV सूची में अभी तक शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध होने के कारण, इस भेद्यता का सक्रिय रूप से शोषण किए जाने की संभावना है।
Administrators of Online Shoe Store installations, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users on the same server.
• php / web:
grep -r "product_name = $_GET['product_name']" /var/www/html/admin/admin_running.php• generic web:
curl -I https://your-online-shoe-store.com/admin/admin_running.php?product_name=<script>alert('XSS')</script>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, ऑनलाइन शू स्टोर को तुरंत संस्करण 1.0.0–1.0 से नवीनतम संस्करण में अपडेट किया जाना चाहिए। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि /admin/adminrunning.php फ़ाइल में productname तर्क के लिए दुर्भावनापूर्ण इनपुट को ब्लॉक किया जा सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके कोड को मजबूत किया जा सकता है। यह सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से सैनिटाइज किया गया है और आउटपुट को प्रदर्शित करने से पहले एन्कोड किया गया है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक कर दिया गया है, /admin/adminrunning.php फ़ाइल में productname तर्क के साथ एक परीक्षण हमला करें।
ऑनलाइन जूता स्टोर प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें, क्योंकि यह संस्करण admin_running.php फ़ाइल में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को ठीक करता है। अपडेट के निर्देशों के लिए प्लगइन के स्रोत की जांच करें या समर्थन के लिए डेवलपर से संपर्क करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5834 ऑनलाइन शू स्टोर के संस्करण 1.0.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप ऑनलाइन शू स्टोर के संस्करण 1.0.0–1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को कम करने के लिए, ऑनलाइन शू स्टोर को तुरंत संस्करण 1.0.0–1.0 से नवीनतम संस्करण में अपडेट करें।
CVE-2026-5834 सार्वजनिक रूप से शोषण योग्य है और सक्रिय रूप से शोषण किए जाने की संभावना है।
आधिकारिक सलाहकार ऑनलाइन शू स्टोर की वेबसाइट पर उपलब्ध होना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।