प्लेटफ़ॉर्म
laravel
घटक
voyager
में ठीक किया गया
1.3.1
CVE-2020-37214 Voyager CMS में एक डायरेक्टरी ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को संवेदनशील सिस्टम फ़ाइलों तक पहुँचने की अनुमति देती है, जैसे कि /etc/passwd और .env कॉन्फ़िगरेशन फ़ाइलें। यह भेद्यता Voyager के संस्करण 1.3.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.3.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Voyager CMS इंस्टॉलेशन पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। हमलावर संवेदनशील जानकारी उजागर कर सकते हैं, जैसे कि डेटाबेस क्रेडेंशियल, API कुंजियाँ, और अन्य गोपनीय डेटा। इसके अतिरिक्त, हमलावर सिस्टम कॉन्फ़िगरेशन फ़ाइलों को संशोधित करने या दुर्भावनापूर्ण कोड निष्पादित करने के लिए इस भेद्यता का उपयोग कर सकते हैं, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को अपेक्षाकृत आसानी से संवेदनशील जानकारी तक पहुँचने की अनुमति देती है, और इसके लिए किसी प्रमाणीकरण की आवश्यकता नहीं होती है।
CVE-2020-37214 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हैं, जो भेद्यता की पुष्टि करते हैं।
Voyager CMS installations, particularly those running version 1.3.0 or earlier, are at risk. Shared hosting environments utilizing Voyager CMS are especially vulnerable due to limited control over server configurations and potential exposure to other tenants' exploits. Development environments with default configurations are also at increased risk.
• laravel / server:
grep -r 'voyager-assets' /var/log/apache2/access.log
grep -r '..\/' /var/log/apache2/access.logdisclosure
poc
एक्सप्लॉइट स्थिति
EPSS
0.33% (56% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2020-37214 को कम करने के लिए, Voyager CMS को संस्करण 1.3.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /admin/voyager-assets एंडपॉइंट तक पहुँच को ब्लॉक करें। इसके अतिरिक्त, सुनिश्चित करें कि Voyager CMS इंस्टॉलेशन सुरक्षित है और केवल अधिकृत उपयोगकर्ताओं द्वारा ही पहुँचा जा सकता है। फ़ाइल अनुमतियों को सख्त करें ताकि केवल Voyager प्रक्रियाएँ ही संवेदनशील फ़ाइलों तक पहुँच सकें।
Actualice Voyager a la versión 1.3.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las rutas de los activos, evitando el acceso no autorizado a archivos sensibles del sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2020-37214 Voyager CMS में एक डायरेक्टरी ट्रैवर्सल भेद्यता है जो हमलावरों को संवेदनशील सिस्टम फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Voyager CMS के संस्करण 1.3.0 या उससे पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2020-37214 को ठीक करने के लिए, Voyager CMS को संस्करण 1.3.1 या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2020-37214 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है।
आप Voyager CMS वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [Voyager CMS advisory link - replace with actual link]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।