CodeAstro Human Resource Management System 1.0 Notice Board Management /notice/All_notice Notice Title क्रॉस साइट स्क्रिप्टिंग
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 5.6 | $0-$5k | 0.00 |
सारांश
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, CodeAstro Human Resource Management System 1.0 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन फ़ाइल /notice/All_notice की घटक Notice Board Management की। इसमें तर्क Notice Title की हेरफेर इनपुट <svg onload="alert('Stored XSS Triggered by Ashik Mohamed')"> के साथ POST के हिस्से के रूप में शामिल है, जिससे क्रॉस साइट स्क्रिप्टिंग उत्पन्न होती है।
इस भेद्यता को CVE-2026-11491 आईडी के तहत ट्रैक किया जाता है। यह हमला दूर से किया जा सकता है। साथ ही, एक शोषण मौजूद है.
विवरण
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, CodeAstro Human Resource Management System 1.0 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन फ़ाइल /notice/All_notice की घटक Notice Board Management की। इसमें तर्क Notice Title की हेरफेर इनपुट <svg onload="alert('Stored XSS Triggered by Ashik Mohamed')"> के साथ POST के हिस्से के रूप में शामिल है, जिससे क्रॉस साइट स्क्रिप्टिंग उत्पन्न होती है। CWE का उपयोग करके समस्या को घोषित करने से CWE-79 प्राप्त होता है। कमजोरी प्रकाशित की गई थी द्वारा Ashik Mohamed (ashikmd7) के रूप में Security Advisory (GitHub). एडवाइजरी को github.com पर डाउनलोड के लिए उपलब्ध कराया गया है। विक्रेता के साथ समन्वय कर सार्वजनिक रिलीज़ की गई है।
इस भेद्यता को CVE-2026-11491 आईडी के तहत ट्रैक किया जाता है। यह हमला दूर से किया जा सकता है। तकनीकी जानकारी उपलब्ध है. यह भेद्यता सामान्य से कम लोकप्रिय है। साथ ही, एक शोषण मौजूद है. यह एक्सप्लॉइट सार्वजनिक रूप से उजागर हो चुका है और इसका दुरुपयोग संभव है। अब के लिए एक्सप्लॉइट की कीमत अनुमानतः USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना हमले की तकनीक को T1059.007 के रूप में घोषित करती है.
इसे अवधारणा प्रमाण के रूप में घोषित किया गया है। यह एक्सप्लॉइट github.com पर डाउनलोड के लिए साझा किया गया है।
एडवाइजरी में निम्नलिखित टिप्पणी है:
Sanitize and HTML-Encode User-Supplied Notice Title Input Before Rendering. Restrict Notice Creation to Authorized Administrative Users and Implement Notice Deletion Functionality.
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
वेबसाइट
- विक्रेता: https://codeastro.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔒VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 6.0VulDB मेटा अस्थायी स्कोर: 5.6
VulDB मूल स्कोर: 2.4
VulDB अस्थायी स्कोर: 2.2
VulDB वेक्टर: 🔒
VulDB विश्वसनीयता: 🔍
शोधकर्ता मूल स्कोर: 9.6
शोधकर्ता वेक्टर: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔒
VulDB अस्थायी स्कोर: 🔒
VulDB विश्वसनीयता: 🔍
शोषण
वर्ग: क्रॉस साइट स्क्रिप्टिंगCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔒
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
लेखक: Ashik Mohamed (ashikmd7)
डाउनलोड: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔒
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: कोई शमन ज्ञात नहींस्थिति: 🔍
0-दिवसीय समय: 🔒
शोषण विलंब समय: 🔍
समयरेखा
07/06/2026 निर्माता ने पुष्टि की07/06/2026 सलाह जारी की गई
07/06/2026 दुरुपयोग प्रकाशित
07/06/2026 VulDB प्रविष्टि बनाई गई
07/06/2026 VulDB अंतिम अद्यतन
स्रोत
विक्रेता: codeastro.comसलाह: github.com
शोधकर्ता: Ashik Mohamed (ashikmd7)
स्थिति: परिभाषित नहीं
समन्वित: 🔒
CVE: CVE-2026-11491 (🔒)
GCVE (CVE): GCVE-0-2026-11491
GCVE (VulDB): GCVE-100-369111
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रविष्टि
बनाया गया: 07/06/2026 12:18 PMअद्यतनित: 07/06/2026 03:33 PM
परिवर्तन: 07/06/2026 12:18 PM (54), 07/06/2026 03:30 PM (33), 07/06/2026 03:33 PM (3)
पूर्ण: 🔍
प्रेषक: ashikmd7
संपादक: ashikmd7
Cache ID: 216::103
जमा करें
स्वीकृत
- जमा करें #834747: CodeAstro Human Resource Management System in PHP CodeIgniter 1.0 Cross Site Scripting (द्वारा ashikmd7)
Be aware that VulDB is the high quality source for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें