प्लेटफ़ॉर्म
php
घटक
faculty-management-system
में ठीक किया गया
1.0.1
CVE-2026-6167 describes a SQL Injection vulnerability discovered in the Faculty Management System. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and modification. The vulnerability affects versions 1.0.0 through 1.0 and is exploitable remotely. A patch is anticipated, and temporary mitigations are available.
'code-projects Faculty Management System' 1.0 में एक SQL इंजेक्शन भेद्यता का पता चला है। यह भेद्यता फ़ाइल /subject-print.php में एक अज्ञात फ़ंक्शन में मौजूद है और 'ID' तर्क के हेरफेर से ट्रिगर होती है। एक दूरस्थ हमलावर इस कमजोरी का फायदा उठाकर दुर्भावनापूर्ण SQL कोड को डेटाबेस में इंजेक्ट कर सकता है, जिससे संग्रहीत डेटा की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। सफल शोषण से हमलावर को संवेदनशील जानकारी जैसे कि संकाय, छात्रों, पाठ्यक्रमों और ग्रेड डेटा तक पहुंचने, संशोधित करने या हटाने की अनुमति मिल सकती है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 7.3 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। संवेदनशील जानकारी की रक्षा करने और संभावित सुरक्षा घटनाओं को रोकने के लिए इस भेद्यता को संबोधित करना महत्वपूर्ण है।
'code-projects Faculty Management System' 1.0 में SQL इंजेक्शन भेद्यता को /subject-print.php फ़ाइल में 'ID' तर्क के हेरफेर के माध्यम से दूरस्थ रूप से शोषण किया जा सकता है। शोषण अब सार्वजनिक रूप से उपलब्ध है, जिसका अर्थ है कि हमलावरों के पास भेद्यता का फायदा उठाने के लिए आवश्यक उपकरण और तकनीक तक पहुंच है। यह लक्षित हमलों के जोखिम को काफी बढ़ाता है। आधिकारिक फिक्स की कमी स्थिति को और बढ़ा देती है, क्योंकि जब तक शमन उपाय लागू नहीं किए जाते, सिस्टम कमजोर रहता है। सिस्टम प्रशासकों को अपने सिस्टम और डेटा की रक्षा के लिए तुरंत कार्रवाई करने की सलाह दी जाती है।
Educational institutions and organizations utilizing the Faculty Management System, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same database are especially vulnerable, as a compromise of one user's account could lead to a wider breach.
• php: Examine web server access logs for requests to /subject-print.php with unusual or malformed ID parameters (e.g., containing single quotes, double quotes, semicolons, or SQL keywords).
• generic web: Use curl to test the /subject-print.php endpoint with various SQL injection payloads (e.g., curl 'http://example.com/subject-print.php?id=1' UNION SELECT 1,2,3 -- -).
• generic web: Check response headers for SQL errors or unusual behavior that might indicate a successful injection.
• php: Review the source code of /subject-print.php for vulnerable SQL queries and lack of input sanitization.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, 'code-projects Faculty Management System' के डेवलपर्स ने इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं किया है। हालांकि, शोषण के जोखिम को कम करने के लिए तत्काल शमन उपायों की दृढ़ता से सिफारिश की जाती है। इन उपायों में सभी उपयोगकर्ता इनपुट, विशेष रूप से /subject-print.php में 'ID' पैरामीटर के सख्त सत्यापन और सैनिटाइजेशन को लागू करना शामिल है। SQL इंजेक्शन को रोकने के लिए तैयार किए गए स्टेटमेंट या संग्रहीत प्रक्रियाओं का उपयोग एक अनुशंसित अभ्यास है। इसके अतिरिक्त, /subject-print.php तक पहुंच को अधिकृत उपयोगकर्ताओं तक सीमित करना और सिस्टम को संदिग्ध गतिविधि के लिए मॉनिटर करना भी सुझाया गया है। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए सिस्टम की सुरक्षा के लिए इन उपायों को लागू करना आवश्यक है।
Actualice el sistema Faculty Management System a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro ID, antes de utilizarlas en consultas SQL para prevenir inyecciones SQL. Implemente una validación de entrada robusta y utilice consultas preparadas o procedimientos almacenados para mitigar el riesgo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक सुरक्षा हमला है जो हमलावरों को डेटाबेस तक पहुंचने या उसे हेरफेर करने के लिए एक एप्लिकेशन में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देता है।
यदि आप 'code-projects Faculty Management System' संस्करण 1.0 का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करें।
प्रभावित सिस्टम को नेटवर्क से अलग करें, सभी उपयोगकर्ता पासवर्ड बदलें और एक व्यापक सुरक्षा ऑडिट करें।
अन्य संकाय प्रबंधन समाधानों पर शोध करें जिनके पास सुरक्षा और नियमित अपडेट का सिद्ध ट्रैक रिकॉर्ड है।
आप OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) जैसे सुरक्षा वेबसाइटों पर SQL इंजेक्शन के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।