मुफ्त स्कैन करें
HIGHCVE-2024-11944CVSS 7.5

iXsystems TrueNAS CORE tarfile.extractall डायरेक्टरी ट्रावर्सल रिमोट कोड एग्जीक्यूशन भेद्यता

प्लेटफ़ॉर्म

freebsd

घटक

truenas-core

में ठीक किया गया

13.3.1

AI Confidence: highNVDEPSS 2.4%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2024-11944 TrueNAS CORE में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है, जो नेटवर्क से जुड़े हमलावरों को प्रभावित करती है। यह भेद्यता tarfile.extractall विधि में पथ सत्यापन की कमी के कारण उत्पन्न होती है। TrueNAS CORE संस्करण 13.3-RELEASE–13.3-RELEASE प्रभावित हैं। इस भेद्यता को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करें।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को TrueNAS CORE सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे डेटा चोरी, सिस्टम समझौता और संभावित रूप से नेटवर्क पर आगे की घुसपैठ हो सकती है। चूंकि प्रमाणीकरण की आवश्यकता नहीं है, इसलिए हमलावर आसानी से इस भेद्यता का फायदा उठा सकते हैं। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह रूट विशेषाधिकारों के साथ कोड निष्पादित करने की अनुमति देती है, जिससे हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का शोषण करने से डेटा हानि, सेवा व्यवधान और सिस्टम की अखंडता का उल्लंघन हो सकता है।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से 30 दिसंबर, 2024 को खुलासा की गई थी। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (POC) मौजूद हो सकते हैं, जो इस भेद्यता के शोषण को आसान बनाते हैं। CISA ने इस भेद्यता को अपनी KEV (Known Exploited Vulnerabilities) सूची में शामिल करने पर विचार किया होगा, जो इसके सक्रिय शोषण की संभावना को दर्शाता है। NVD (National Vulnerability Database) में इस CVE के बारे में जानकारी उपलब्ध है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations heavily reliant on TrueNAS CORE for data storage and management are at significant risk. This includes small to medium-sized businesses (SMBs) and enterprises utilizing TrueNAS for file sharing, backups, and virtual machine hosting. Shared hosting environments using TrueNAS are particularly vulnerable due to the potential for cross-tenant exploitation.

पहचान के चरणअनुवाद हो रहा है…

• freebsd / server:

journalctl -u zed -g 'tarfile.extractall'

• freebsd / server:

find /usr/local -type f -mtime -1 -print

• generic web:

curl -I http://<truenas_ip>/path/to/malicious/file.tar.gz

• generic web:

 grep -i 'tarfile.extractall' /var/log/nginx/access.log

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रमध्यम

EPSS

2.41% (85% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorAdjacentहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
आसन्न — नेटवर्क निकटता आवश्यक: समान LAN, Bluetooth या स्थानीय वायरलेस।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकtruenas-core
विक्रेताiXsystems
प्रभावित श्रेणीमें ठीक किया गया
13.3-RELEASE – 13.3-RELEASE13.3.1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन
बिना पैच — प्रकाशन से 510 दिन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, TrueNAS CORE को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, नेटवर्क एक्सेस को सीमित करने और फ़ायरवॉल नियमों को लागू करने पर विचार करें। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके संदिग्ध ट्रैफ़िक को ब्लॉक किया जा सकता है। TrueNAS CORE के लिए नवीनतम सुरक्षा पैच और अपडेट के लिए iXsystems की वेबसाइट की निगरानी करें। अपडेट के बाद, यह सुनिश्चित करने के लिए सिस्टम की जांच करें कि भेद्यता ठीक हो गई है।

कैसे ठीक करें

TrueNAS CORE को 13.3-RELEASE से बाद के संस्करण में अपडेट करें जिसमें इस भेद्यता के लिए सुधार शामिल है। अधिक विवरण के लिए TrueNAS रिलीज़ नोट्स देखें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2024-11944 — RCE TrueNAS CORE में क्या है?

CVE-2024-11944 TrueNAS CORE में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो हमलावरों को मनमाना कोड निष्पादित करने की अनुमति देती है। यह tarfile.extractall विधि में पथ सत्यापन की कमी के कारण होता है।

क्या मैं CVE-2024-11944 से TrueNAS CORE में प्रभावित हूं?

यदि आप TrueNAS CORE संस्करण 13.3-RELEASE–13.3-RELEASE चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं TrueNAS CORE में CVE-2024-11944 को कैसे ठीक करूं?

TrueNAS CORE को नवीनतम संस्करण में अपडेट करें। iXsystems की वेबसाइट पर नवीनतम सुरक्षा पैच और अपडेट के लिए जांच करें।

क्या CVE-2024-11944 सक्रिय रूप से शोषण किया जा रहा है?

इस भेद्यता के सक्रिय शोषण की संभावना है, क्योंकि यह सार्वजनिक रूप से खुलासा की गई है और POC मौजूद हो सकते हैं।

मैं CVE-2024-11944 के लिए आधिकारिक TrueNAS सलाहकार कहां पा सकता हूं?

iXsystems की वेबसाइट पर CVE-2024-11944 के लिए आधिकारिक सलाहकार खोजें: https://www.ixsystems.com/security-advisories/

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें