वोसिफरोस अनऑथेंटिकेटेड रिमोट पाथ ट्रावर्सल (CSRF के माध्यम से RCE)
प्लेटफ़ॉर्म
python
घटक
vociferous
में ठीक किया गया
4.4.3
CVE-2026-27897 describes a critical Path Traversal vulnerability discovered in Vociferous, a cross-platform, offline speech-to-text application. This flaw allows an attacker to read arbitrary files on the server due to inadequate filename validation within the export_file API route. The vulnerability affects versions of Vociferous prior to 4.4.2 and can be exploited remotely due to permissive CORS configuration.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
The impact of this vulnerability is severe. An attacker can leverage the Path Traversal flaw to read sensitive files from the server's filesystem. This could include configuration files, database credentials, source code, or other confidential data. The unauthenticated nature of the API, combined with the overly permissive CORS policy (allowing all origins), significantly increases the attack surface. An attacker could potentially gain complete control over the affected system by exploiting this vulnerability to read and modify critical files. The lack of authentication means no user interaction is required for exploitation.
शोषण संदर्भअनुवाद हो रहा है…
This vulnerability was publicly disclosed on 2026-03-11. No known public exploits or active campaigns have been reported at the time of writing. The vulnerability's ease of exploitation, coupled with the lack of authentication, suggests a potential for widespread exploitation if a readily available exploit is developed. It is recommended to prioritize patching.
कौन जोखिम में हैअनुवाद हो रहा है…
Organizations utilizing Vociferous for offline speech-to-text processing, particularly those with publicly accessible APIs or those running Vociferous on shared hosting environments, are at significant risk. Systems with older, unpatched versions of Vociferous are especially vulnerable.
पहचान के चरणअनुवाद हो रहा है…
• python / server:
import os
import json
# Check for the vulnerable code in src/api/system.py
with open('src/api/system.py', 'r') as f:
content = f.read()
if 'os.path.join' in content and 'filename' in content and 'export_file' in content:
print('Potential CVE-2026-27897 vulnerability detected.')• generic web:
curl -X POST -d '{"filename": "../../../../etc/passwd", "content": "test"}' http://<target_host>/export_file• generic web:
# Check for file access attempts in access logs
grep -iE 'export_file|../' /var/log/apache2/access.logहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation for CVE-2026-27897 is to upgrade Vociferous to version 4.4.2 or later, which includes the necessary filename validation fixes. If upgrading immediately is not possible, consider implementing a Web Application Firewall (WAF) rule to block requests containing suspicious characters in the filename parameter. Additionally, restrict the CORS configuration in app.py to only allow trusted origins. Thoroughly review the src/api/system.py file for any other potential vulnerabilities.
कैसे ठीक करें
वोसिफरोस को संस्करण 4.4.2 या उच्चतर में अपडेट करें। यह संस्करण फ़ाइलनामों को संसाधित करने से पहले उन्हें ठीक से मान्य करके पाथ ट्रावर्सल भेद्यता को ठीक करता है। अपडेट बाहरी हमलावरों को अवांछित स्थानों पर मनमाना डेटा लिखने से रोकेगा।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2026-27897 — Path Traversal in Vociferous?
CVE-2026-27897 is a critical Path Traversal vulnerability affecting Vociferous versions prior to 4.4.2. It allows attackers to read arbitrary files on the server due to insufficient filename validation in the export_file API.
Am I affected by CVE-2026-27897 in Vociferous?
You are affected if you are using Vociferous version 4.4.2 or earlier. Check your version and upgrade immediately.
How do I fix CVE-2026-27897 in Vociferous?
Upgrade Vociferous to version 4.4.2 or later. As a temporary workaround, implement a WAF rule to block suspicious filenames and restrict CORS.
Is CVE-2026-27897 being actively exploited?
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation warrants immediate attention and patching.
Where can I find the official Vociferous advisory for CVE-2026-27897?
Refer to the Vociferous project's official website or GitHub repository for the latest security advisories and updates.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।