प्लेटफ़ॉर्म
python
घटक
calibre-web
में ठीक किया गया
0.6.18
CVE-2022-0990 calibre-web में एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है, जिससे संभावित रूप से डेटा का समझौता हो सकता है। यह भेद्यता calibre-web के संस्करणों 0.6.18 से पहले के संस्करणों को प्रभावित करती है। संस्करण 0.6.18 में इस समस्या का समाधान किया गया है।
SSRF भेद्यता के कारण, एक हमलावर calibre-web सर्वर के माध्यम से आंतरिक नेटवर्क संसाधनों तक पहुंच सकता है। इसमें डेटाबेस, आंतरिक वेब एप्लिकेशन और अन्य संवेदनशील सेवाएं शामिल हो सकती हैं। हमलावर इन संसाधनों से डेटा निकाल सकता है, उन्हें संशोधित कर सकता है या यहां तक कि उन्हें नियंत्रित भी कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है यदि calibre-web सर्वर आंतरिक नेटवर्क पर स्थित है और बाहरी इंटरनेट से उजागर है। हमलावर बाहरी स्रोत से अनुरोधों को रूट करने के लिए calibre-web सर्वर का उपयोग कर सकते हैं, जिससे आंतरिक संसाधनों तक पहुंच प्राप्त हो सके जो अन्यथा दुर्गम होंगे। इस भेद्यता का उपयोग आंतरिक सेवाओं को उजागर करने, संवेदनशील डेटा को चुराने या यहां तक कि आंतरिक प्रणालियों को नियंत्रित करने के लिए किया जा सकता है।
CVE-2022-0990 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस CVE को CISA KEV में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो भेद्यता की पुष्टि करते हैं और संभावित शोषण के लिए एक आधार प्रदान करते हैं। NVD ने 2022-04-04 को इस भेद्यता को प्रकाशित किया।
Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.
• python / server:
journalctl -u calibre-web | grep -i "Server-Side Request Forgery"• generic web:
curl -I <calibre-web-url>/internal-resource # Check for access to internal resources
grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLsdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.29% (52% शतमक)
CVSS वेक्टर
CVE-2022-0990 को कम करने के लिए, calibre-web को संस्करण 0.6.18 में तुरंत अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि SSRF हमलों को ब्लॉक किया जा सके। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो आंतरिक संसाधनों के लिए अनुरोध करते हैं। इसके अतिरिक्त, आप calibre-web के कॉन्फ़िगरेशन को संशोधित कर सकते हैं ताकि आंतरिक संसाधनों तक पहुंच को प्रतिबंधित किया जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, calibre-web को आंतरिक संसाधनों तक पहुंचने का प्रयास करके और यह सुनिश्चित करके कि अनुरोध विफल हो जाते हैं।
calibre-web को संस्करण 0.6.18 या उच्चतर में अपडेट करें। इस संस्करण में SSRF भेद्यता के लिए एक सुधार शामिल है। अपडेट pip पैकेज मैनेजर के माध्यम से किया जा सकता है या रिपॉजिटरी से नवीनतम संस्करण डाउनलोड करके और फ़ाइलों को बदलकर किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-0990 calibre-web में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप calibre-web के संस्करण 0.6.18 से पहले के संस्करण चला रहे हैं, तो आप प्रभावित हैं।
calibre-web को संस्करण 0.6.18 में तुरंत अपडेट करें।
CVE-2022-0990 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है।
आप calibre-web वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [https://calibre-web.readthedocs.io/en/latest/security/](https://calibre-web.readthedocs.io/en/latest/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।