LOWCVE-2014-1831CVSS 2.5

अस्थायी फ़ाइलों का असुरक्षित उपयोग passenger में

प्लेटफ़ॉर्म

ruby

घटक

passenger

में ठीक किया गया

4.0.38

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026

NVD पर देखें

सहेजें

Phusion Passenger के संस्करण 4.0.8 से पहले, एक भेद्यता पाई गई है जो स्थानीय उपयोगकर्ताओं को सिंबलिंक हमले के माध्यम से कुछ फ़ाइलों और निर्देशिकाओं में लिखने की अनुमति देती है। यह भेद्यता हमलावरों को संवेदनशील डेटा तक पहुंच प्राप्त करने या सिस्टम के व्यवहार को बदलने की अनुमति दे सकती है। प्रभावित संस्करण 4.0.8 से कम हैं। Phusion Passenger संस्करण 4.0.38 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को control_process.pid या generation-* फ़ाइलों पर सिंबलिंक हमले करके मनमाने ढंग से फ़ाइलों को लिखने की अनुमति देती है। इसका उपयोग संवेदनशील डेटा को संशोधित करने, सिस्टम कॉन्फ़िगरेशन को बदलने या दुर्भावनापूर्ण कोड को निष्पादित करने के लिए किया जा सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को स्थानीय पहुंच की आवश्यकता होती है, लेकिन वे सिस्टम पर महत्वपूर्ण प्रभाव डाल सकते हैं। यह भेद्यता उन प्रणालियों के लिए विशेष रूप से खतरनाक है जहां Passenger का उपयोग वेब अनुप्रयोगों को होस्ट करने के लिए किया जाता है, क्योंकि हमलावर वेब अनुप्रयोग के माध्यम से डेटा तक पहुंच प्राप्त कर सकते हैं।

शोषण संदर्भ

CVE-2014-1831 को 2018 में सार्वजनिक रूप से प्रकट किया गया था। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध शोषण नहीं है, लेकिन सिंबलिंक हमलों का उपयोग करके इसका शोषण करना संभव है। यह भेद्यता KEV में सूचीबद्ध नहीं है, और इसका EPSS स्कोर कम है, जो कम संभावना को दर्शाता है कि इसका सक्रिय रूप से शोषण किया जा रहा है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

EPSS

0.07% (21% शतमक)

प्रभावित सॉफ्टवेयर

घटकpassenger

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

—4.0.38

समयरेखा

प्रकाशित2018-10-10
संशोधित2024-12-08
EPSS अद्यतन2026-04-02

प्रकाशन के -1675 दिन बाद पैच

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Phusion Passenger को संस्करण 4.0.38 या बाद के संस्करण में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी उपाय के रूप में, control_process.pid और generation-* फ़ाइलों को केवल Passenger प्रक्रिया के उपयोगकर्ता द्वारा ही लिखने योग्य बनाया जा सकता है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके और अनावश्यक सिंबलिंक को हटाकर हमले की सतह को कम किया जा सकता है। Passenger के लिए WAF नियमों को कॉन्फ़िगर करके भी इस भेद्यता का पता लगाया जा सकता है।

कैसे ठीक करेंअनुवाद हो रहा है…

कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2014-1831 — स्थानीय फ़ाइल लेखन Phusion Passenger में क्या है?

CVE-2014-1831 Phusion Passenger के संस्करण 4.0.8 से कम में एक भेद्यता है जो स्थानीय उपयोगकर्ताओं को सिंबलिंक हमले के माध्यम से कुछ फ़ाइलों में लिखने की अनुमति देती है।

क्या मैं CVE-2014-1831 से Phusion Passenger में प्रभावित हूँ?

यदि आप Phusion Passenger के संस्करण 4.0.8 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं Phusion Passenger में CVE-2014-1831 को कैसे ठीक करूँ?

इस भेद्यता को ठीक करने के लिए, Phusion Passenger को संस्करण 4.0.38 या बाद के संस्करण में अपडेट करें।

क्या CVE-2014-1831 सक्रिय रूप से शोषण किया जा रहा है?

इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध शोषण नहीं है, लेकिन सिंबलिंक हमलों का उपयोग करके इसका शोषण करना संभव है।

मैं CVE-2014-1831 के लिए आधिकारिक Phusion Passenger सलाहकार कहां पा सकता हूं?

आप Phusion Passenger सलाहकार यहां पा सकते हैं: [https://phusionpassenger.com/news/securityupdates](https://phusionpassenger.com/news/securityupdates)