प्लेटफ़ॉर्म
nodejs
घटक
growl
में ठीक किया गया
1.10.0
CVE-2017-16042 growl में एक गंभीर कमांड इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को मनमाने कमांड निष्पादित करने की अनुमति देती है क्योंकि इनपुट को शेल कमांड में पास करने से पहले ठीक से सैनिटाइज नहीं किया जाता है। यह भेद्यता growl के सभी संस्करणों को प्रभावित करती है 1.10.0 से पहले। संस्करण 1.10.0 या बाद में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता एक हमलावर को growl एप्लिकेशन पर मनमाना कमांड निष्पादित करने की अनुमति देती है। इसका मतलब है कि हमलावर सिस्टम पर नियंत्रण हासिल कर सकता है, संवेदनशील डेटा चुरा सकता है, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है। इस भेद्यता का उपयोग सिस्टम के समझौता होने के लिए किया जा सकता है, जिससे डेटा हानि, सेवा व्यवधान और प्रतिष्ठा को नुकसान हो सकता है। चूंकि growl का उपयोग अक्सर सूचनाओं को प्रदर्शित करने के लिए किया जाता है, इसलिए हमलावर इस भेद्यता का उपयोग उपयोगकर्ताओं को दुर्भावनापूर्ण कोड वितरित करने के लिए कर सकता है।
CVE-2017-16042 को सार्वजनिक रूप से 8 जून, 2018 को खुलासा किया गया था। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इसका शोषण करना आसान बनाते हैं। इस भेद्यता को अभी तक सक्रिय रूप से शोषण करने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता और PoC की उपलब्धता के कारण, यह एक महत्वपूर्ण जोखिम बना हुआ है। यह CISA KEV सूची में शामिल नहीं है।
Applications and systems that rely on the growl Node.js module for notification functionality are at risk. This includes development environments, production servers, and any system where the module is integrated into custom applications. Specifically, systems that process untrusted user input and pass it directly to the growl module are particularly vulnerable.
• nodejs / server:
npm list growlIf the output shows a version less than 1.10.0, the system is vulnerable. • nodejs / server:
find / -name "growl*" -type d -printThis command searches for the growl module directory. Check the version within the directory. • nodejs / server:
npm audit | grep growlThis command checks for known vulnerabilities in the growl module using npm audit.
discovery
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.35% (57% शतमक)
CVSS वेक्टर
CVE-2017-16042 को कम करने का सबसे प्रभावी तरीका growl को संस्करण 1.10.0 या बाद में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट को सैनिटाइज करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, growl एप्लिकेशन के लिए उपयोग किए जा रहे उपयोगकर्ता अनुमतियों को सीमित करने से भेद्यता के प्रभाव को कम करने में मदद मिल सकती है। सुनिश्चित करें कि growl एप्लिकेशन को न्यूनतम आवश्यक विशेषाधिकारों के साथ चलाया जा रहा है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, growl एप्लिकेशन को दुर्भावनापूर्ण इनपुट के साथ परीक्षण करके।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2017-16042 growl में एक कमांड इंजेक्शन भेद्यता है जो हमलावरों को मनमाना कमांड निष्पादित करने की अनुमति देती है। यह भेद्यता तब होती है जब इनपुट को शेल कमांड में पास करने से पहले ठीक से सैनिटाइज नहीं किया जाता है।
यदि आप growl के संस्करण 1.10.0 से पहले उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2017-16042 को ठीक करने का सबसे प्रभावी तरीका growl को संस्करण 1.10.0 या बाद में अपडेट करना है।
हालांकि इस भेद्यता को अभी तक सक्रिय रूप से शोषण करने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता और PoC की उपलब्धता के कारण, यह एक महत्वपूर्ण जोखिम बना हुआ है।
आप growl प्रोजेक्ट की वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [https://github.com/Growl/Growl/security/advisories/GHSA-5g9p-x49g-943w](https://github.com/Growl/Growl/security/advisories/GHSA-5g9p-x49g-943w)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।