प्लेटफ़ॉर्म
php
घटक
querymine-sms
में ठीक किया गया
7.0.1
QueryMine sms में एक SQL Injection भेद्यता पाई गई है, जिससे हमलावर डेटाबेस तक अनधिकृत पहुंच प्राप्त कर सकते हैं। यह भेद्यता QueryMine sms के संस्करण 0.0.0 से 7ab5a9ea196209611134525ffc18de25c57d9593 तक के संस्करणों को प्रभावित करती है। इस भेद्यता का फायदा उठाया जा सकता है और सार्वजनिक रूप से उपलब्ध है। QueryMine sms एक रोलिंग रिलीज़ मॉडल का उपयोग करता है, इसलिए विशिष्ट संस्करण जानकारी उपलब्ध नहीं है।
QueryMine sms के संस्करण 7ab5a9ea196209611134525ffc18de25c57d9593 से पहले एक SQL इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता admin/deletecourse.php फ़ाइल में एक अज्ञात फ़ंक्शन, विशेष रूप से GET अनुरोध पैरामीटर हैंडलर को प्रभावित करती है। एक हमलावर इस कमजोरी का फायदा उठाकर ID तर्क को बदलकर दुर्भावनापूर्ण SQL कोड के निष्पादन की अनुमति दे सकता है। शोषण दूरस्थ है, जिसका अर्थ है कि एक हमलावर किसी भी स्थान से हमले शुरू कर सकता है जहां नेटवर्क एक्सेस है। शोषण की सार्वजनिक उपलब्धता हमलों के जोखिम को काफी बढ़ा देती है। चूंकि QueryMine sms एक रोलिंग रिलीज़ मॉडल का उपयोग करता है, इसलिए विशिष्ट संस्करण सुधार पारंपरिक रूप से उपलब्ध नहीं हो सकते हैं। विक्रेता अपडेट की निगरानी करने और उपलब्ध होने पर सुधार लागू करने की अनुशंसा की जाती है।
SQL इंजेक्शन भेद्यता admin/deletecourse.php फ़ाइल में मौजूद है और GET अनुरोध में ID पैरामीटर को बदलकर ट्रिगर होती है। एक हमलावर इस पैरामीटर में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है, जिसे तब डेटाबेस के खिलाफ निष्पादित किया जाता है। शोषण दूरस्थ है, जिसके लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं होती है। शोषण की सार्वजनिक उपलब्धता विभिन्न तकनीकी कौशल वाले हमलावरों के लिए इसका फायदा उठाना आसान बना देती है। सफल शोषण के परिणामस्वरूप गोपनीय जानकारी का खुलासा, डेटा संशोधन और सिस्टम समझौता हो सकता है। किसी विशिष्ट पैच समाधान की कमी नवीनतम अपडेट लागू करने और अतिरिक्त सुरक्षा उपायों को लागू करने की तात्कालिकता को बढ़ाती है।
Organizations utilizing QueryMine sms for SMS management, particularly those handling sensitive customer data or operating in regulated industries, are at significant risk. Shared hosting environments where multiple users share the same QueryMine instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for all users.
• linux / server:
journalctl -u querymine -g "SQL injection"• generic web:
curl -I 'http://your-querymine-instance/admin/deletecourse.php?id='; # Check for SQL errors in response headersdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
QueryMine sms के रोलिंग रिलीज़ मॉडल के कारण, किसी विशिष्ट पैच समाधान प्रदान नहीं किया जाता है। प्राथमिक शमन नवीनतम QueryMine sms अपडेट लागू करना है जब वे उपलब्ध हों। इसके अतिरिक्त, सभी उपयोगकर्ता इनपुट को मान्य और साफ करने, डेटाबेस खातों पर न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने और संदिग्ध गतिविधि के लिए नेटवर्क ट्रैफ़िक की निगरानी करने जैसे अतिरिक्त सुरक्षा उपायों को लागू करने की अनुशंसा की जाती है। नेटवर्क विभाजन संभावित शोषण के प्रभाव को सीमित कर सकता है। एप्लिकेशन और डेटाबेस सुरक्षा कॉन्फ़िगरेशन का मूल्यांकन करके किसी भी अन्य संभावित भेद्यता की पहचान करना और उन्हें ठीक करना महत्वपूर्ण है। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से ज्ञात हमलों को रोकने में मदद मिल सकती है।
Actualice a la última versión disponible de QueryMine sms. Debido al modelo de lanzamiento continuo, consulte la documentación oficial o contacte con el proveedor para obtener información sobre las versiones específicas afectadas y las actualizaciones disponibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक सुरक्षा भेद्यता है जो हमलावरों को डेटाबेस में दुर्भावनापूर्ण SQL कोड निष्पादित करने की अनुमति देती है।
यह भेद्यता एक हमलावर को गोपनीय जानकारी तक पहुंचने, डेटा को संशोधित करने या सिस्टम को नियंत्रित करने की अनुमति दे सकती है।
आपको जल्द से जल्द QueryMine sms के नवीनतम उपलब्ध संस्करण में अपडेट करना चाहिए। आपको इनपुट सत्यापन और नेटवर्क ट्रैफ़िक निगरानी जैसे अतिरिक्त सुरक्षा उपायों को भी लागू करना चाहिए।
QueryMine sms के रोलिंग रिलीज़ मॉडल के कारण, कोई विशिष्ट पैच प्रदान नहीं किया जाता है। नवीनतम संस्करण में अपडेट करना सबसे अच्छा शमन है।
आप भेद्यता डेटाबेस (जैसे CVE (सामान्य भेद्यताएं और एक्सपोजर)) में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।