CRMEB जोपर्यंत 5.6.3 JSON Token LoginServices.php remoteRegister uid कमकुवत प्रमाणीकरण
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 6.3 | $0-$5k | 0.30 |
सारांश
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती CRMEB जोपर्यंत 5.6.3 मध्ये आढळली आहे. प्रभावित आहे फंक्शन remoteRegister फाइल crmeb/app/services/user/LoginServices.php च्या घटक JSON Token Handler च्या. सॉफ्टवेअरमध्ये uid या आर्ग्युमेंटमध्ये वापर कमकुवत प्रमाणीकरण घडवून आणतो.
ही कमतरता CVE-2026-1203 या नावाने ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
तपशील
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती CRMEB जोपर्यंत 5.6.3 मध्ये आढळली आहे. प्रभावित आहे फंक्शन remoteRegister फाइल crmeb/app/services/user/LoginServices.php च्या घटक JSON Token Handler च्या. सॉफ्टवेअरमध्ये uid या आर्ग्युमेंटमध्ये वापर कमकुवत प्रमाणीकरण घडवून आणतो. CWE वापरून समस्या घोषित केल्याने CWE-287 कडे नेले जाते. कमजोरी प्रकाशित करण्यात आली होती. सल्ला डाउनलोडसाठी github.com येथे शेअर केला आहे.
ही कमतरता CVE-2026-1203 या नावाने ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. तांत्रिक तपशील उपलब्ध आहेत. हल्ल्याची गुंतागुंत तुलनेने जास्त आहे. शोषण करणे कठीण असल्याचे सांगितले आहे. ही असुरक्षितता सामान्यपेक्षा कमी लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे उघड झाले आहे आणि वापरले जाऊ शकते. सध्याच्या घडीला अंदाजे USD $0-$5k असू शकतो.
हे प्रूफ-ऑफ-कॉन्सेप्ट म्हणून घोषित केले आहे. github.com या ठिकाणी शोषण डाउनलोडसाठी शेअर केले आहे.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
उत्पादन
नाम
आवृत्ती:
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔒VulDB विश्वसनीयता:: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA सदिश: 🔒
CVSSv3
VulDB मेटा बेस स्कोअर: 6.4VulDB मेटा टेम्प स्कोअर: 6.3
VulDB बेस स्कोअर: 5.6
VulDB टेम्प स्कोअर: 5.1
VulDB सदिश: 🔒
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 8.1
NVD सदिश: 🔒
CNA बेस स्कोअर: 5.6
CNA सदिश: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔒
VulDB टेम्प स्कोअर: 🔒
VulDB विश्वसनीयता:: 🔍
शोषण करणे:
वर्ग: कमकुवत प्रमाणीकरणCWE: CWE-287
CAPEC: 🔒
ATT&CK: 🔒
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔒
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔒
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔒
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: कोणतेही शमन माहित नाहीस्थान: 🔍
0 दिवसांचा वेळ: 🔒
टाइमलाइन
19/01/2026 सल्लागाराने खुलासा केला19/01/2026 VulDB Entry निर्माण
30/01/2026 VulDB Entry शेवटचे अपडेट
स्त्रोत
सल्लागार: github.comस्थान: परिभाषित केलेले नाही
CVE: CVE-2026-1203 (🔒)
GCVE (CVE): GCVE-0-2026-1203
GCVE (VulDB): GCVE-100-341789
CNNVD: CNNVD-202601-3320 - CRMEB 授权问题漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 19/01/2026 04:33 PMअद्ययावत: 30/01/2026 12:21 AM
बदल: 19/01/2026 04:33 PM (57), 20/01/2026 03:22 AM (30), 22/01/2026 08:45 AM (6), 30/01/2026 12:21 AM (11)
संपूर्ण: 🔍
Submitter: Ho Cherry
Cache ID: 253:2F3:103
प्रस्तुत करा
मान्य केले
- प्रस्तुत करा #735349: Zhongbang CRMEB v5.6.3 Authentication Bypass by (जवळ Ho Cherry)
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.