मुफ्त स्कैन करें
HIGHCVE-2026-23529CVSS 7.7

Google BigQuery Sink कनेक्टर में मनमाना फ़ाइल रीड (Arbitrary File Read)

प्लेटफ़ॉर्म

other

घटक

bigquery-connector-for-apache-kafka

में ठीक किया गया

2.11.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

Google BigQuery Sink Connector में एक अनधिकृत फ़ाइल एक्सेस भेद्यता पाई गई है। यह भेद्यता हमलावरों को संवेदनशील फ़ाइलों को पढ़ने की अनुमति दे सकती है, जिससे डेटा का संभावित जोखिम हो सकता है। यह भेद्यता Google BigQuery Sink Connector के संस्करणों 2.11.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 2.11.0 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को Google BigQuery Sink Connector के कॉन्फ़िगरेशन फ़ाइलों में संग्रहीत संवेदनशील जानकारी तक पहुंचने की अनुमति देती है। हमलावर बाहरी स्रोतों से प्रमाणन कॉन्फ़िगरेशन फ़ाइलों को संसाधित करते समय सत्यापन की कमी का फायदा उठा सकते हैं। इससे वे अनधिकृत रूप से फ़ाइलों को पढ़ सकते हैं, जिसमें API कुंजियाँ, पासवर्ड या अन्य गोपनीय डेटा शामिल हो सकते हैं। इस भेद्यता का उपयोग डेटा उल्लंघनों, पहचान की चोरी या सिस्टम तक अनधिकृत पहुंच प्राप्त करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां BigQuery Sink Connector का उपयोग संवेदनशील डेटा को संसाधित करने के लिए किया जाता है।

शोषण संदर्भ

यह भेद्यता 2026-01-16 को सार्वजनिक रूप से उजागर की गई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। CISA KEV सूची में इस भेद्यता को शामिल करने की संभावना है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing the Aiven Google BigQuery Kafka Connect Sink connector, particularly those with automated deployment pipelines or shared hosting environments, are at heightened risk. Systems relying on the connector for critical data ingestion processes should be prioritized for patching.

पहचान के चरणअनुवाद हो रहा है…

• linux / server:

find /opt/kafka/connectors/ -name 'aiven-bigquery-sink-connector.jar' -print0 | xargs -0 grep -i 'credential.json'

• generic web:

curl -I <connector_endpoint> | grep -i 'credential.json'

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.03% (8% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N7.7HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकbigquery-connector-for-apache-kafka
विक्रेताAiven-Open
प्रभावित श्रेणीमें ठीक किया गया
< 2.11.0 – < 2.11.02.11.1

कमजोरी वर्गीकरण (CWE)

CWE-73CWE-918

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Google BigQuery Sink Connector को संस्करण 2.11.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो प्रमाणन कॉन्फ़िगरेशन फ़ाइलों तक पहुंच को सीमित करने के लिए अतिरिक्त सुरक्षा उपाय लागू करें। फ़ायरवॉल नियमों का उपयोग करके अनधिकृत स्रोतों से फ़ाइलों को संसाधित करने से रोकें। प्रमाणन कॉन्फ़िगरेशन फ़ाइलों को सुरक्षित स्थान पर संग्रहीत करें और उन्हें केवल अधिकृत उपयोगकर्ताओं तक ही पहुंच प्रदान करें। नियमित रूप से लॉग की निगरानी करें और किसी भी संदिग्ध गतिविधि की जांच करें।

कैसे ठीक करें

Kafka BigQuery Connector को संस्करण 2.11.0 या उच्चतर में अपडेट करें। यह संस्करण मनमाना फ़ाइल रीड भेद्यता को ठीक करता है। सुनिश्चित करें कि बाहरी रूप से प्रदान किए गए क्रेडेंशियल कॉन्फ़िगरेशन का उपयोग करने से पहले आप उन्हें मान्य और सैनिटाइज़ करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-23529 — Arbitrary File Access in Google BigQuery Sink Connector क्या है?

CVE-2026-23529 Google BigQuery Sink Connector (≤ 2.11.0) में एक भेद्यता है जो हमलावरों को अनधिकृत रूप से फ़ाइलों को पढ़ने की अनुमति देती है।

क्या मैं CVE-2026-23529 में Google BigQuery Sink Connector से प्रभावित हूं?

यदि आप Google BigQuery Sink Connector के संस्करण 2.11.0 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-23529 में Google BigQuery Sink Connector को कैसे ठीक करूं?

Google BigQuery Sink Connector को संस्करण 2.11.0 या बाद के संस्करण में तुरंत अपडेट करें।

क्या CVE-2026-23529 सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।

मैं CVE-2026-23529 के लिए Google BigQuery Sink Connector के आधिकारिक सलाहकार को कहां पा सकता हूं?

Google BigQuery Sink Connector के आधिकारिक सलाहकार के लिए Google सुरक्षा वेबसाइट देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें