प्लेटफ़ॉर्म
python
घटक
calibreweb
में ठीक किया गया
0.6.17
0.6.17
CVE-2022-0766 calibreweb में एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता calibreweb के संस्करण 0.6.16 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को calibreweb के संस्करण 0.6.17 में ठीक कर दिया गया है।
SSRF भेद्यता के कारण, एक हमलावर calibreweb सर्वर को आंतरिक नेटवर्क संसाधनों तक पहुँचने के लिए उपयोग कर सकता है, जैसे कि डेटाबेस, आंतरिक वेब सर्वर या अन्य संवेदनशील प्रणालियाँ। हमलावर आंतरिक सेवाओं को स्कैन करने, गोपनीय डेटा निकालने या यहां तक कि आंतरिक प्रणालियों पर नियंत्रण हासिल करने के लिए इस भेद्यता का उपयोग कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है यदि calibreweb सर्वर एक सार्वजनिक रूप से सुलभ नेटवर्क पर स्थित है, क्योंकि इससे हमलावरों को आंतरिक नेटवर्क तक पहुँचने का एक आसान तरीका मिल सकता है। CVE-2022-0339 की अपूर्ण फिक्स के कारण यह भेद्यता उत्पन्न हुई है, जहाँ 0.0.0.0 को ब्लैकलिस्ट में जाँच नहीं की गई, जिससे localhost पर अनुरोध भेजा जा सकता है।
CVE-2022-0766 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SSRF भेद्यताएँ अक्सर आंतरिक संसाधनों तक पहुँचने के लिए उपयोग की जाती हैं। यह भेद्यता CVE-2022-0339 की अपूर्ण फिक्स से उत्पन्न हुई है, जो एक समान SSRF भेद्यता थी। CISA ने इस CVE को सूचीबद्ध नहीं किया है। सार्वजनिक रूप से उपलब्ध POC अभी तक नहीं हैं, लेकिन SSRF भेद्यताएँ आम तौर पर शोषण करने में आसान होती हैं।
Organizations and individuals using calibreweb for ebook management, particularly those hosting the application internally or in shared hosting environments, are at risk. Users relying on calibreweb to manage sensitive library data or integrate with internal systems are especially vulnerable.
• linux / server: Monitor calibreweb access logs for requests containing 0.0.0.0 or other suspicious hostnames. Use journalctl -u calibreweb to check for error messages related to request forwarding.
grep '0.0.0.0' /var/log/calibreweb/access.log• generic web: Use curl to attempt a request to calibreweb with 0.0.0.0 as the hostname and verify that it is blocked.
curl -v http://your-calibreweb-server/0.0.0.0disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.29% (52% शतमक)
CVSS वेक्टर
CVE-2022-0766 को कम करने के लिए, calibreweb को संस्करण 0.6.17 या बाद के संस्करण में तुरंत अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को ब्लॉक करने का प्रयास किया जा सकता है। WAF को 0.0.0.0 जैसे संदिग्ध अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, calibreweb सर्वर के नेटवर्क एक्सेस को सीमित करने के लिए नेटवर्क सेगमेंटेशन का उपयोग किया जा सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, calibreweb सर्वर पर SSRF हमलों का अनुकरण करके सत्यापन करें।
calibre-web को संस्करण 0.6.17 या उच्चतर में अपडेट करें। इस संस्करण में SSRF भेद्यता के लिए एक सुधार शामिल है। आप Python पैकेज मैनेजर (pip) के माध्यम से या प्रदाता द्वारा प्रदान किए गए अपडेट निर्देशों का पालन करके अपडेट कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-0766 calibreweb के संस्करण 0.6.16 से पहले एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को आंतरिक संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप calibreweb के संस्करण 0.6.16 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2022-0766 को ठीक करने के लिए, calibreweb को संस्करण 0.6.17 या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2022-0766 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SSRF भेद्यताएँ अक्सर आंतरिक संसाधनों तक पहुँचने के लिए उपयोग की जाती हैं।
आप calibreweb के लिए आधिकारिक एडवाइजरी calibreweb की वेबसाइट पर पा सकते हैं: https://calibre-ebook.com/news/.
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।