मुफ्त स्कैन करें
CRITICALCVE-2026-45714CVSS 9.1

CVE-2026-45714: RCE in CubeCart v6

प्लेटफ़ॉर्म

php

घटक

cubecart-v6

में ठीक किया गया

6.7.0

NVD पर देखें
सहेजें

CubeCart v6 एक ई-कॉमर्स सॉफ्टवेयर समाधान है। CVE-2026-45714 एक प्रमाणित सर्वर-साइड टेम्पलेट इंजेक्शन (SSTI) भेद्यता है जो CubeCart के कई मॉड्यूल में मौजूद है, जिसमें ईमेल टेम्पलेट, इनवॉइस, दस्तावेज़ और संपर्क फ़ॉर्म शामिल हैं। असुरक्षित रूप से उपयोगकर्ता द्वारा आपूर्ति किए गए इनपुट का मूल्यांकन Smarty टेम्पलेट इंजन के साथ किया जाता है, जिससे प्रमाणित उपयोगकर्ता प्रशासनिक विशेषाधिकारों के साथ सर्वर पर मनमाना ऑपरेटिंग सिस्टम कमांड (RCE) चला सकते हैं। यह भेद्यता संस्करण 6.7.0 में ठीक की गई है।

प्रभाव और हमले की स्थितियाँ

यह RCE भेद्यता हमलावरों को CubeCart सर्वर पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती है। वे मनमाना कोड निष्पादित कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य हमलों को लॉन्च करने के लिए सर्वर का उपयोग कर सकते हैं। प्रभावित सिस्टम में संग्रहीत ग्राहक डेटा, वित्तीय जानकारी और अन्य गोपनीय जानकारी खतरे में पड़ सकती है। चूंकि भेद्यता प्रमाणित उपयोगकर्ताओं के लिए है, इसलिए हमलावरों को पहले वैध खाते तक पहुंच प्राप्त करने की आवश्यकता होगी, लेकिन एक बार ऐसा होने के बाद, वे सिस्टम पर व्यापक नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक इनपुट वेक्टर का दुरुपयोग मनमाना कोड निष्पादित करने के लिए किया जाता है।

शोषण संदर्भ

CVE-2026-45714 की गंभीरता को देखते हुए, यह शोषण के लिए एक उच्च प्राथमिकता वाला लक्ष्य हो सकता है। सार्वजनिक रूप से उपलब्ध POC अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, यह संभावना है कि जल्द ही POC विकसित किए जाएंगे। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2026-05-13 है। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, यह अभी भी अज्ञात है, लेकिन सुरक्षा टीमों को सतर्क रहना चाहिए और अपने सिस्टम को पैच करना चाहिए।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट3 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकcubecart-v6
विक्रेताcubecart
न्यूनतम संस्करण6.0.0
अधिकतम संस्करण< 6.7.0
में ठीक किया गया6.7.0

कमजोरी वर्गीकरण (CWE)

CWE-94CWE-1336

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

CubeCart को तुरंत संस्करण 6.7.0 में अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी उपाय के रूप में, Smarty सुरक्षा नीतियों को सक्षम करने के लिए CubeCart कॉन्फ़िगरेशन फ़ाइलों को संशोधित करने का प्रयास करें। यह भेद्यता के जोखिम को कम कर सकता है, लेकिन यह एक पूर्ण समाधान नहीं है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या रिवर्स प्रॉक्सी को कॉन्फ़िगर करके भी हमलों को कम किया जा सकता है जो टेम्पलेट इंजेक्शन प्रयासों को ब्लॉक करते हैं। नियमित रूप से सिस्टम लॉग की निगरानी करें और किसी भी संदिग्ध गतिविधि के लिए देखें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक बुनियादी टेम्पलेट इंजेक्शन परीक्षण करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice CubeCart a la versión 6.7.0 o superior para mitigar la vulnerabilidad de inyección de plantillas del lado del servidor (SSTI). Esta actualización corrige la forma en que se evalúan las plantillas Smarty, evitando la ejecución de comandos arbitrarios en el sistema.

अक्सर पूछे जाने वाले सवाल

CVE-2026-45714 — RCE CubeCart v6 में क्या है?

CVE-2026-45714 CubeCart v6 में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो प्रमाणित उपयोगकर्ताओं को सर्वर पर मनमाना कोड चलाने की अनुमति देती है।

क्या मैं CVE-2026-45714 में CubeCart v6 से प्रभावित हूं?

यदि आप CubeCart v6 के संस्करण 6.0.0 से 6.6.9 तक चला रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-45714 में CubeCart v6 को कैसे ठीक करूं?

CubeCart को तुरंत संस्करण 6.7.0 में अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो अस्थायी उपायों के रूप में Smarty सुरक्षा नीतियों को सक्षम करें या WAF का उपयोग करें।

क्या CVE-2026-45714 सक्रिय रूप से शोषण किया जा रहा है?

यह अभी तक अज्ञात है कि CVE-2026-45714 सक्रिय रूप से शोषण किया जा रहा है, लेकिन सुरक्षा टीमों को सतर्क रहना चाहिए।

CVE-2026-45714 के लिए आधिकारिक CubeCart सलाहकार कहां मिल सकता है?

आधिकारिक CubeCart सलाहकार के लिए, कृपया CubeCart वेबसाइट पर जाएं: [https://www.cubecart.com/](https://www.cubecart.com/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...