प्लेटफ़ॉर्म
nodejs
घटक
serve
में ठीक किया गया
7.1.4
7.1.3
CVE-2019-5417, serve में एक डायरेक्टरी ट्रैवर्सल भेद्यता है, जो हमलावरों को सिस्टम फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह भेद्यता 7.1.3 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 7.1.3 में ठीक कर दिया गया है।
CVE-2019-5417 serve में हमलावरों को डायरेक्टरी ट्रावर्सल हमलों को करने की अनुमति देता है। यह फ़ाइल पथों के अपर्याप्त सत्यापन के कारण होता है, जिससे एक हमलावर अंतर्निहित ऑपरेटिंग सिस्टम पर संवेदनशील फ़ाइलों और निर्देशिकाओं तक पहुंच सकता है। एक हमलावर संभावित रूप से कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य गोपनीय डेटा को पढ़ सकता है जो बाहरी रूप से एक्सेस नहीं किया जाना चाहिए। इस भेद्यता की गंभीरता को CVSS पैमाने पर 7.5 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। फ़ाइल पथों के सैनिटाइजेशन की कमी सिस्टम को महत्वपूर्ण सुरक्षा जोखिमों के संपर्क में लाती है, खासकर उन वातावरणों में जहां serve का उपयोग अनियंत्रित स्थानों से वेब सामग्री परोसने के लिए किया जाता है।
इस भेद्यता का शोषण serve टूल को प्रदान किए गए फ़ाइल पथों में हेरफेर करके किया जाता है। एक हमलावर ../ जैसे अनुक्रमों का उपयोग करके इच्छित रूट निर्देशिका के बाहर नेविगेट कर सकता है और अनधिकृत स्थानों पर फ़ाइलों तक पहुंच सकता है। शोषण अपेक्षाकृत सरल है और उन्नत तकनीकी कौशल की आवश्यकता नहीं है। जहां serve का उपयोग एक निर्देशिका से सामग्री परोसने के लिए किया जाता है जिसे हमलावर नियंत्रित कर सकता है, वहां जोखिम अधिक होता है, क्योंकि यह उसे दुर्भावनापूर्ण पथों को इंजेक्ट करने की अनुमति देता है। यह भेद्यता serve के 7.1.3 से पहले के सभी संस्करणों को प्रभावित करती है।
एक्सप्लॉइट स्थिति
EPSS
0.61% (70% शतमक)
CVSS वेक्टर
CVE-2019-5417 को कम करने के लिए अनुशंसित समाधान serve के संस्करण को 7.1.3 या बाद के संस्करण में अपग्रेड करना है। इन संस्करणों में फिक्स शामिल हैं जो फ़ाइल पथों को मान्य और सैनिटाइज करते हैं, जिससे अनधिकृत पहुंच को रोका जा सकता है। यदि तत्काल अपग्रेड संभव नहीं है, तो संवेदनशील निर्देशिकाओं तक पहुंच को सीमित करने के लिए फ़ाइल सिस्टम पर सख्त एक्सेस नियंत्रण लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, serve कॉन्फ़िगरेशन की समीक्षा और ऑडिट की जानी चाहिए ताकि यह सुनिश्चित किया जा सके कि केवल इच्छित फ़ाइलें और निर्देशिकाएं परोसी जा रही हैं। अपग्रेड सबसे प्रभावी उपाय है और इस भेद्यता से बचाने के लिए दृढ़ता से इसकी सिफारिश की जाती है।
Actualice el paquete 'serve' a la versión 7.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios en el servidor remoto. Ejecute 'npm install serve@latest' para obtener la versión más reciente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक सुरक्षा हमला है जो एक हमलावर को वेब सर्वर पर फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देता है जिन्हें उसे एक्सेस नहीं करना चाहिए। यह फ़ाइल पथों में हेरफेर करके प्राप्त किया जाता है।
आप अपने टर्मिनल में serve --version कमांड चलाकर serve के संस्करण की जांच कर सकते हैं।
फ़ाइल सिस्टम पर सख्त एक्सेस नियंत्रण लागू करें और serve कॉन्फ़िगरेशन की समीक्षा करें।
हाँ, 7.1.3 से पहले के सभी संस्करण प्रभावित हैं।
आप Common Vulnerabilities and Exposures (CVE) भेद्यता डेटाबेस में CVE-2019-5417 प्रविष्टि में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।