मुफ्त स्कैन करें
HIGHCVE-2026-46419CVSS 7.5

CVE-2026-46419: Impersonation in Yubico webauthn-server-core

प्लेटफ़ॉर्म

java

घटक

yubico/java-webauthn-server

में ठीक किया गया

2.8.2

NVD पर देखें
सहेजें

Yubico webauthn-server-core में एक भेद्यता पाई गई है, जिसके कारण दूसरे कारक प्रवाह में फ़ंक्शन रिटर्न वैल्यू की गलत जांच से प्रतिरूपण हो सकता है। यह भेद्यता Yubico webauthn-server-core के संस्करण 2.8.0–2.8.2 को प्रभावित करती है। संस्करण 2.8.2 में इस समस्या का समाधान किया गया है।

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

प्रभाव और हमले की स्थितियाँ

यह भेद्यता एक हमलावर को किसी अन्य उपयोगकर्ता के रूप में प्रमाणित होने की अनुमति दे सकती है। एक हमलावर गलत तरीके से सत्यापित किए गए दूसरे कारक प्रवाह का उपयोग करके किसी अन्य उपयोगकर्ता की पहचान चुरा सकता है और उनके अधिकारों तक पहुंच प्राप्त कर सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को वेबauthn-server-core सिस्टम तक पहुंच की आवश्यकता होगी और एक वैध उपयोगकर्ता के लिए प्रमाणीकरण प्रक्रिया को ट्रिगर करने में सक्षम होना होगा। इस भेद्यता का प्रभाव उच्च है क्योंकि यह उपयोगकर्ता प्रमाणीकरण को खतरे में डाल सकता है और अनधिकृत पहुंच की अनुमति दे सकता है।

शोषण संदर्भ

CVE-2026-46419 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं। NVD और CISA ने इस भेद्यता के लिए कोई जानकारी जारी नहीं की है। इस भेद्यता की गंभीरता उच्च है, लेकिन इसका शोषण करने के लिए हमलावर को वेबauthn-server-core सिस्टम तक पहुंच की आवश्यकता होगी।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकyubico/java-webauthn-server
विक्रेताYubico
न्यूनतम संस्करण2.8.0
अधिकतम संस्करण2.8.2
में ठीक किया गया2.8.2

कमजोरी वर्गीकरण (CWE)

CWE-253

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Yubico webauthn-server-core को संस्करण 2.8.2 में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेबauthn-server-core सिस्टम तक पहुंच को सीमित करने के लिए सख्त एक्सेस नियंत्रण लागू किए जा सकते हैं। इसके अतिरिक्त, वेबauthn-server-core सिस्टम की निगरानी की जानी चाहिए ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए प्रमाणीकरण प्रक्रियाओं का परीक्षण करें कि वे ठीक से काम कर रहे हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 2.8.2 o posterior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.

अक्सर पूछे जाने वाले सवाल

CVE-2026-46419 — Yubico webauthn-server-core में प्रतिरूपण क्या है?

CVE-2026-46419 Yubico webauthn-server-core में एक भेद्यता है जो दूसरे कारक प्रवाह में फ़ंक्शन रिटर्न वैल्यू की गलत जांच के कारण प्रतिरूपण की अनुमति दे सकती है।

क्या मैं CVE-2026-46419 में Yubico webauthn-server-core से प्रभावित हूं?

यदि आप Yubico webauthn-server-core के संस्करण 2.8.0–2.8.2 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-46419 में Yubico webauthn-server-core को कैसे ठीक करूं?

Yubico webauthn-server-core को संस्करण 2.8.2 में अपग्रेड करें।

क्या CVE-2026-46419 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-46419 के सक्रिय शोषण के कोई ज्ञात अभियान नहीं हैं।

मैं CVE-2026-46419 के लिए आधिकारिक Yubico सलाहकार कहां पा सकता हूं?

Yubico सलाहकार के लिए, कृपया Yubico सुरक्षा वेबसाइट देखें: https://www.yubico.com/security/.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle
liveमुफ्त स्कैन

अपने Java / Maven प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...