प्लेटफ़ॉर्म
php
घटक
code-projects-online-shoe-store
में ठीक किया गया
1.0.1
code-projects Online Shoe Store के संस्करण 1.0.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता /admin/adminfootball.php फ़ाइल में मौजूद एक अज्ञात कार्यक्षमता को प्रभावित करती है। एक हमलावर productname तर्क में हेरफेर करके दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। यह भेद्यता दूर से शोषण करने योग्य है और इसका प्रभाव कम है। 2026-04-09 को प्रकाशित, इस समस्या को हल करने के लिए अपडेट जारी किया जाना है।
यह XSS भेद्यता हमलावर को पीड़ित के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है, जो उन्हें संवेदनशील जानकारी चुराने, उपयोगकर्ता को फ़िशिंग साइटों पर रीडायरेक्ट करने या वेबसाइट की उपस्थिति को बदलने में सक्षम बनाती है। चूंकि भेद्यता दूर से शोषण करने योग्य है, इसलिए हमलावर को पीड़ित के साथ किसी भी पूर्व संपर्क की आवश्यकता नहीं है। प्रकाशित शोषण के साथ, इस भेद्यता का शोषण करना अपेक्षाकृत आसान है। हमलावर कुकीज़, सत्र टोकन और अन्य संवेदनशील डेटा चुरा सकते हैं, जिससे वे उपयोगकर्ता के खाते पर नियंत्रण कर सकते हैं।
CVE-2026-5835 में शोषण सार्वजनिक रूप से उपलब्ध है, जिससे इसका शोषण करने का जोखिम बढ़ जाता है। यह भेद्यता अभी तक CISA KEV में शामिल नहीं की गई है, लेकिन इसकी कम गंभीरता के कारण, इसका जोखिम मध्यम माना जाता है। सार्वजनिक रूप से उपलब्ध शोषण के साथ, हमलावर आसानी से इस भेद्यता का फायदा उठा सकते हैं।
Administrators of code-projects Online Shoe Store installations are the primary group at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a successful attack could potentially compromise other websites hosted on the same server. Users with administrative privileges are at the highest risk.
• php / web:
curl -s -X POST "http://your-target-domain.com/admin/admin_football.php" -d "product_name=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"• generic web:
curl -I http://your-target-domain.com/admin/admin_football.php?product_name=<script>alert('XSS')</script>• generic web: Examine access logs for requests to /admin/adminfootball.php containing suspicious characters or patterns in the productname parameter (e.g., <script>, <img src=x onerror=alert('XSS')>, etc.).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
भेद्यता को कम करने के लिए, code-projects Online Shoe Store के नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को फ़िल्टर कर सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करें ताकि दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोका जा सके। फ़ाइल /admin/admin_football.php तक पहुंच को सीमित करने पर भी विचार करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक सुरक्षा स्कैन चलाएं।
XSS भेद्यता को कम करने के लिए 'code-projects ऑनलाइन जूता स्टोर' प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें। अपडेट निर्देशों और सुरक्षा पैच के लिए प्लगइन के आधिकारिक स्रोतों की जांच करें। भविष्य के XSS हमलों को रोकने के लिए उपयोगकर्ता इनपुट 'product_name' के लिए उचित सत्यापन और एस्केप लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5835 code-projects Online Shoe Store के संस्करण 1.0.0–1.0 में /admin/admin_football.php फ़ाइल में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है।
यदि आप code-projects Online Shoe Store के संस्करण 1.0.0–1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
भेद्यता को ठीक करने के लिए, code-projects Online Shoe Store के नवीनतम संस्करण में तुरंत अपडेट करें।
CVE-2026-5835 के लिए शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए code-projects वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।