CI4MS: सभी भूमिकाओं और विशेषाधिकार वृद्धि के लिए ब्लॉग श्रेणियाँ पूर्ण खाता अधिग्रहण, संग्रहीत DOM XSS के माध्यम से
प्लेटफ़ॉर्म
codeigniter
कॉम्पोनेन्ट
ci4ms
ठीक किया गया
0.31.0.0
CI4MS एक CodeIgniter 4-आधारित CMS ढांचा है जो RBAC प्राधिकरण और थीम समर्थन के साथ उत्पादन-तैयार, मॉड्यूलर आर्किटेक्चर प्रदान करता है। संस्करण 0.31.0.0 से पहले, एप्लिकेशन ब्लॉग श्रेणियां बनाते या संपादित करते समय उपयोगकर्ता-नियंत्रित इनपुट को ठीक से साफ़ करने में विफल रहता है। एक हमलावर श्रेणी शीर्षक फ़ील्ड में एक दुर्भावनापूर्ण जावास्क्रिप्ट पेलोड इंजेक्ट कर सकता है, जो बाद में सर्वर-साइड पर संग्रहीत होता है। यह संग्रहीत पेलोड बाद में सार्वजनिक-सामना करने वाले ब्लॉग श्रेणी पृष्ठों, प्रशासनिक इंटरफेस और ब्लॉग पोस्ट दृश्यों में बिना उचित आउटपुट एन्कोडिंग के असुरक्षित रूप से प्रस्तुत किया जाता है, जिससे संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) होती है। इस समस्या को संस्करण 0.31.0.0 में ठीक कर दिया गया है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें