प्लेटफ़ॉर्म
nodejs
घटक
follow-redirects
में ठीक किया गया
1.14.7
CVE-2022-0155, follow-redirects लाइब्रेरी में एक भेद्यता है जो अनधिकृत अभिनेताओं को निजी व्यक्तिगत जानकारी के जोखिम की अनुमति देती है। इससे संवेदनशील डेटा का खुलासा हो सकता है। यह भेद्यता संस्करण 1.14.7 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.14.7 में इस समस्या को ठीक कर दिया गया है।
CVE-2022-0155, follow-redirects पैकेज में एक भेद्यता है जो अनधिकृत व्यक्ति को निजी व्यक्तिगत जानकारी उजागर करने की अनुमति देती है। यह भेद्यता तब उत्पन्न होती है जब follow-redirects पैकेज किसी दुर्भावनापूर्ण वेबसाइट से रीडायरेक्ट का पालन करता है जो संवेदनशील डेटा, जैसे कि उपयोगकर्ता सत्र टोकन, API कुंजियाँ, या अन्य गोपनीय जानकारी को उजागर करने के लिए डिज़ाइन किया गया है। एक हमलावर एक ऐसी वेबसाइट बना सकता है जो उपयोगकर्ता को एक वैध वेबसाइट से रीडायरेक्ट करती है, लेकिन रीडायरेक्ट के दौरान, हमलावर उपयोगकर्ता के ब्राउज़र में एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। यह स्क्रिप्ट फिर उपयोगकर्ता के ब्राउज़र से संवेदनशील जानकारी एकत्र कर सकती है और इसे हमलावर को भेज सकती है। इस भेद्यता का 'ब्लास्ट रेडियस' व्यापक हो सकता है, क्योंकि यह उन सभी अनुप्रयोगों को प्रभावित कर सकता है जो follow-redirects पैकेज का उपयोग करते हैं और बाहरी वेबसाइटों से रीडायरेक्ट का पालन करते हैं। विशेष रूप से, उन अनुप्रयोगों को जोखिम होता है जो उपयोगकर्ता प्रमाणीकरण या संवेदनशील डेटा को संभालने के लिए रीडायरेक्ट का उपयोग करते हैं। हमलावर इस भेद्यता का उपयोग उपयोगकर्ता खातों पर नियंत्रण प्राप्त करने, संवेदनशील डेटा चुराने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो उच्च मात्रा में व्यक्तिगत डेटा को संसाधित करते हैं या महत्वपूर्ण बुनियादी ढांचे का समर्थन करते हैं।
CVE-2022-0155 के लिए अभी तक सार्वजनिक शोषण रिपोर्ट नहीं हैं (KEV)। इसका मतलब है कि इस भेद्यता का सार्वजनिक रूप से शोषण करने के लिए कोई ज्ञात तरीका नहीं है। हालाँकि, इसका मतलब यह नहीं है कि इस भेद्यता का शोषण नहीं किया जा सकता है। एक हमलावर इस भेद्यता का शोषण करने के लिए एक नया तरीका खोज सकता है। इस भेद्यता की गंभीरता को देखते हुए, इसे जल्द से जल्द ठीक करना महत्वपूर्ण है। सार्वजनिक रूप से उपलब्ध कोई प्रमाण-अवधारणा (POC) नहीं है, लेकिन भेद्यता का विवरण इंगित करता है कि इसका शोषण किया जा सकता है यदि हमलावर रीडायरेक्ट को नियंत्रित कर सकता है। इस भेद्यता को कम करने के लिए, follow-redirects पैकेज को नवीनतम संस्करण में अपग्रेड करना या एक वर्कअराउंड लागू करना महत्वपूर्ण है। भेद्यता की गंभीरता को देखते हुए, इसे उच्च प्राथमिकता के साथ संबोधित किया जाना चाहिए।
एक्सप्लॉइट स्थिति
EPSS
1.30% (80% शतमक)
CVSS वेक्टर
follow-redirects पैकेज में CVE-2022-0155 को ठीक करने का सबसे अच्छा तरीका है इसे संस्करण 1.14.7 या उच्चतर में अपग्रेड करना। यह संस्करण भेद्यता को संबोधित करता है और सुरक्षित रीडायरेक्ट हैंडलिंग प्रदान करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप रीडायरेक्ट को मैन्युअल रूप से सत्यापित करने के लिए कोड जोड़ सकते हैं, यह सुनिश्चित करते हुए कि वे अपेक्षित गंतव्य पर पुनर्निर्देशित कर रहे हैं। रीडायरेक्ट को सत्यापित करते समय, आपको रीडायरेक्ट यूआरएल की जांच करनी चाहिए और यह सुनिश्चित करना चाहिए कि यह एक विश्वसनीय डोमेन से है। अपग्रेड करने या वर्कअराउंड लागू करने के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता को सफलतापूर्वक ठीक किया गया है। आप यह जांचने के लिए परीक्षण कर सकते हैं कि क्या आपका एप्लिकेशन अब दुर्भावनापूर्ण वेबसाइटों से रीडायरेक्ट का पालन करता है। अपग्रेड करने के बाद, सुनिश्चित करें कि आप अपने एप्लिकेशन को पूरी तरह से परीक्षण करें ताकि यह सुनिश्चित हो सके कि अपग्रेड ने कोई नई समस्या नहीं पेश की है। अपग्रेड करने की प्रक्रिया को सावधानीपूर्वक योजना बनाना चाहिए और उत्पादन में लागू करने से पहले एक परीक्षण वातावरण में परीक्षण किया जाना चाहिए।
Actualice la dependencia follow-redirects a la versión 1.14.7 o superior. Esto corrige la vulnerabilidad de exposición de información personal privada. Ejecute `npm install follow-redirects@latest` o `yarn upgrade follow-redirects@latest` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-0155 follow-redirects पैकेज में एक भेद्यता है जो अनधिकृत व्यक्ति को निजी व्यक्तिगत जानकारी उजागर करने की अनुमति देती है।
यदि आप follow-redirects पैकेज का उपयोग कर रहे हैं और संस्करण 1.14.7 से कम पर हैं, तो आप प्रभावित हैं।
CVE-2022-0155 को ठीक करने के लिए, follow-redirects पैकेज को संस्करण 1.14.7 या उच्चतर में अपग्रेड करें।
CVE-2022-0155 के लिए अभी तक सार्वजनिक शोषण रिपोर्ट नहीं हैं, लेकिन भेद्यता का शोषण किया जा सकता है।
आप इस भेद्यता के बारे में अधिक जानकारी के लिए NVD वेबसाइट (https://nvd.nist.gov/vuln/detail/CVE-2022-0155) पर जा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।