Genivia Crystal Live HTTP Server 6.01 - 'Crystal Live HTTP Server' पाथ ट्रावर्सल (Path Traversal)

यह भेद्यता हमलावरों को वेब रूट के बाहर नेविगेट करने और संवेदनशील जानकारी तक पहुँचने के लिए कई '../' अनुक्रमों का उपयोग करने की अनुमति देती है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड और अन्य संवेदनशील डेटा को उजागर कर सकते हैं। इस भेद्यता का उपयोग सिस्टम पर नियंत्रण हासिल करने या आगे के हमलों को लॉन्च करने के लिए भी किया जा सकता है। चूंकि यह भेद्यता पथ पारगमन पर आधारित है, इसलिए यह अन्य वेब सर्वरों में समान भेद्यताओं का पता लगाने के लिए एक टेम्पलेट के रूप में काम कर सकती है।

Systems utilizing Crystal Live HTTP Server version 6.01–6.01, particularly those deployed in environments with limited network segmentation or exposed to the internet, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable.

1. 2026-02-18Disclosure

   disclosure

1. आरक्षित2026-02-13
2. प्रकाशित2026-02-18
3. संशोधित2026-02-19
4. EPSS अद्यतन2026-03-23

चूंकि क्रिस्टल लाइव HTTP सर्वर के लिए कोई आधिकारिक सुरक्षा अपडेट उपलब्ध नहीं है, इसलिए तत्काल शमन उपाय आवश्यक हैं। सबसे पहले, सर्वर को तुरंत बंद कर दें ताकि आगे के हमलों को रोका जा सके। यदि सर्वर को बंद करना संभव नहीं है, तो वेब रूट को सख्त रूप से कॉन्फ़िगर करें ताकि हमलावर संवेदनशील फ़ाइलों तक पहुँच न सकें। फ़ायरवॉल नियमों का उपयोग करके विशिष्ट URL पथों तक पहुँच को प्रतिबंधित करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने पर विचार करें।