Allegra getFileContentAsString डायरेक्टरी ट्रावर्सल जानकारी प्रकटीकरण भेद्यता

यह Directory Traversal भेद्यता हमलावरों को Allegra सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, भले ही उन्हें प्रमाणीकरण की आवश्यकता हो। Allegra का पंजीकरण तंत्र हमलावरों को पर्याप्त विशेषाधिकार स्तर के साथ एक नया उपयोगकर्ता बनाने की अनुमति देता है, जिससे भेद्यता का फायदा उठाना आसान हो जाता है। हमलावर संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य गोपनीय डेटा तक पहुँच सकते हैं। इस भेद्यता का उपयोग सिस्टम पर आगे के हमलों को लॉन्च करने या डेटा चोरी करने के लिए किया जा सकता है।

Organizations deploying Allegra, particularly those with custom integrations or extensions that rely on file access, are at risk. Shared hosting environments where multiple users share the same Allegra instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this flaw.

1. 2024-11-22Disclosure

   disclosure

1. आरक्षित2023-12-20
2. प्रकाशित2024-11-22
3. संशोधित2024-11-25
4. EPSS अद्यतन2026-04-02

Allegra को तुरंत 7.5.1 संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइल एक्सेस को प्रतिबंधित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। सुनिश्चित करें कि Allegra इंस्टॉलेशन में उपयोगकर्ता विशेषाधिकार कम से कम हैं। पंजीकरण प्रक्रिया को सख्त करें और मजबूत पासवर्ड नीतियों को लागू करें। फ़ाइल एक्सेस को नियंत्रित करने के लिए एक्सेस कंट्रोल लिस्ट (ACL) का उपयोग करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, getFileContentAsString विधि के माध्यम से संवेदनशील फ़ाइलों तक पहुँचने का प्रयास करके सत्यापित करें।