CI4MS: बैकएंड उपयोगकर्ता प्रबंधन में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Stored XSS) सत्र अपहरण और पूर्ण प्रशासनिक खाता समझौते की अनुमति देता है
प्लेटफ़ॉर्म
codeigniter
कॉम्पोनेन्ट
ci4ms
ठीक किया गया
0.31.0.0
CI4MS एक CodeIgniter 4-आधारित CMS ढांचा है जो RBAC प्राधिकरण और थीम समर्थन के साथ उत्पादन-तैयार, मॉड्यूलर आर्किटेक्चर प्रदान करता है। संस्करण 0.31.0.0 से पहले, बैकएंड उपयोगकर्ता प्रबंधन कार्यक्षमता में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Stored XSS) भेद्यता मौजूद है। एप्लिकेशन प्रशासनिक इंटरफ़ेस में प्रस्तुत करने से पहले उपयोगकर्ता-नियंत्रित इनपुट को ठीक से साफ करने में विफल रहता है, जिससे हमलावरों को लगातार जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति मिलती है। इसके परिणामस्वरूप प्रभावित पृष्ठ तक बैकएंड उपयोगकर्ताओं द्वारा पहुंचने पर स्वचालित निष्पादन होता है, जिससे सत्र अपहरण, विशेषाधिकार वृद्धि और पूर्ण प्रशासनिक खाता समझौता सक्षम होता है। इस समस्या को संस्करण 0.31.0.0 में ठीक कर दिया गया है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें