प्लेटफ़ॉर्म
php
घटक
code-projects-online-shoe-store
में ठीक किया गया
1.0.1
Online Shoe Store के संस्करण 1.0.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की खोज की गई है। यह भेद्यता /admin/admin_product.php फ़ाइल में मौजूद अज्ञात कार्यक्षमता को प्रभावित करती है, जिससे हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं। इस भेद्यता का शोषण दूर से किया जा सकता है। 2026-04-09 को सार्वजनिक रूप से खुलासा किया गया है, और इसका समाधान करना महत्वपूर्ण है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे वे संवेदनशील जानकारी चुरा सकते हैं, उपयोगकर्ता को फ़िशिंग साइटों पर रीडायरेक्ट कर सकते हैं, या वेबसाइट की उपस्थिति को बदल सकते हैं। हमलावर व्यवस्थापकों (administrators) के खातों को हाईजैक कर सकते हैं, जिससे उन्हें सिस्टम पर पूर्ण नियंत्रण मिल सकता है। चूंकि भेद्यता दूर से शोषण योग्य है, इसलिए यह व्यापक जोखिम पैदा करती है। इस तरह के XSS हमलों का उपयोग अक्सर अन्य हमलों को लॉन्च करने के लिए किया जाता है, जैसे कि सेशन हाईजैकिंग या क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF)।
CVE-2026-5836 को 2026-04-09 को सार्वजनिक रूप से खुलासा किया गया था। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (PoC) मौजूद हैं, जो भेद्यता के शोषण को आसान बनाते हैं। इस भेद्यता का शोषण करने के लिए सक्रिय अभियान होने की संभावना है। इस भेद्यता को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है।
Administrators of Online Shoe Store installations, particularly those using version 1.0.0–1.0, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of others.
• php / server:
grep -r "admin_product.php" /var/www/html/• generic web:
curl -I http://your-online-shoe-store.com/admin/admin_product.php?product_name=<script>alert('XSS')</script>• generic web:
grep -A 10 "admin_product.php" /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
भेद्यता को कम करने के लिए, Online Shoe Store को तुरंत नवीनतम संस्करण में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके भेद्यता को कम किया जा सकता है। विशेष रूप से, product_name तर्क को ठीक से सैनिटाइज किया जाना चाहिए ताकि दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोका जा सके। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, इनपुट फ़िल्टरिंग और आउटपुट एन्कोडिंग को लागू करने से हमले की सतह को कम करने में मदद मिल सकती है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, मैन्युअल परीक्षण करें।
प्लगइन ऑनलाइन शू स्टोर (Online Shoe Store) को नवीनतम उपलब्ध संस्करण में अपडेट करें, क्योंकि admin_product.php फ़ाइल में यह XSS भेद्यता दुर्भावनापूर्ण कोड के निष्पादन की अनुमति देती है। प्लगइन के स्रोत की जांच करें और यदि आवश्यक हो तो सुरक्षा पैच लागू करें। भविष्य के XSS हमलों को रोकने के लिए इनपुट सत्यापन और एस्केप उपाय लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5836 Online Shoe Store के संस्करण 1.0.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो /admin/admin_product.php फ़ाइल में मौजूद अज्ञात कार्यक्षमता को प्रभावित करती है।
यदि आप Online Shoe Store के संस्करण 1.0.0–1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Online Shoe Store को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करें।
CVE-2026-5836 सार्वजनिक रूप से खुलासा किया गया है और सार्वजनिक PoC उपलब्ध हैं, इसलिए सक्रिय शोषण की संभावना है।
Online Shoe Store के आधिकारिक सलाहकार के लिए, कृपया उनके सुरक्षा वेबसाइट या दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।