UNKNOWNCVE-2019-25675
eDirectory सभी संस्करणों में SQL इंजेक्शन प्रमाणीकरण बाईपास
प्लेटफ़ॉर्म
php
कॉम्पोनेन्ट
edirectory
eDirectory में कई SQL इंजेक्शन कमजोरियां हैं जो अनाधिकृत हमलावरों को पैरामीटर में SQL कोड इंजेक्ट करके व्यवस्थापक प्रमाणीकरण को बाईपास करने और संवेदनशील फ़ाइलों को उजागर करने की अनुमति देती हैं। हमलावर लॉगिन एंडपॉइंट में यूनियन-आधारित SQL इंजेक्शन के साथ कुंजी पैरामीटर का फायदा उठाकर व्यवस्थापक के रूप में प्रमाणित कर सकते हैं, और फिर सर्वर से मनमाना PHP फ़ाइलों को पढ़ने के लिए language_file.php में प्रमाणित फ़ाइल प्रकटीकरण कमजोरियों का लाभ उठा सकते हैं।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें