H2O में एक गंभीर संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है, जो स्थानीय फ़ाइल शामिल (LFI) हमलों का मार्ग प्रशस्त कर सकती है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने और संभावित रूप से संवेदनशील डेटा तक पहुंचने की अनुमति देती है। प्रभावित संस्करणों में H2O के सभी संस्करण शामिल हैं जो नवीनतम संस्करण से कम या उसके बराबर हैं। इस समस्या को हल करने के लिए, नवीनतम संस्करण में अपडेट करना या अस्थायी शमन उपाय लागू करना आवश्यक है।
यह XSS भेद्यता हमलावरों को दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है, जो तब अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित हो सकता है। एक सफल शोषण के परिणामस्वरूप हमलावर उपयोगकर्ता के सत्र को हाईजैक कर सकता है, संवेदनशील जानकारी चुरा सकता है, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकता है। इसके अतिरिक्त, भेद्यता का उपयोग स्थानीय फ़ाइल शामिल (LFI) हमले को ट्रिगर करने के लिए किया जा सकता है, जिससे हमलावर सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक पहुंच प्राप्त कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह H2O के सभी संस्करणों को प्रभावित करती है जो नवीनतम संस्करण से कम या उसके बराबर हैं, और इसका शोषण करना अपेक्षाकृत आसान है। इस भेद्यता का उपयोग करके, हमलावर सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकते हैं और डेटा की गोपनीयता और अखंडता से समझौता कर सकते हैं।
CVE-2023-6013 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है। इस भेद्यता को KEV (Know Exploited Vulnerabilities) सूची में जोड़ा जाना चाहिए। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही PoC जारी किए जाएंगे। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations utilizing H2O for machine learning and data science applications are at risk, particularly those with legacy configurations or those who haven't implemented robust input validation and output encoding practices. Shared hosting environments using H2O are also at increased risk due to the potential for cross-tenant exploitation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (47% शतमक)
CVSS वेक्टर
CVE-2023-6013 को कम करने के लिए, H2O को तुरंत नवीनतम संस्करण में अपडेट करना सबसे प्रभावी तरीका है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके XSS हमलों के जोखिम को कम किया जा सकता है। सर्वर-साइड फ़ाइल एक्सेस को सीमित करना और फ़ाइल पथों को सावधानीपूर्वक मान्य करना LFI हमलों को रोकने में मदद कर सकता है। अस्थायी शमन के रूप में, H2O इंस्टेंस के लिए सख्त एक्सेस नियंत्रण लागू करें और नियमित रूप से सुरक्षा ऑडिट करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक सुरक्षा स्कैन चलाएं।
H2O को नवीनतम उपलब्ध संस्करण में अपडेट करें। इससे संग्रहीत XSS (Stored XSS) भेद्यता ठीक हो जानी चाहिए, जिससे लोकल फ़ाइल शामिल (Local File Include) हो सकता है। अधिक जानकारी के लिए विक्रेता की सुरक्षा घोषणा देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2023-6013 H2O में एक संग्रहीत XSS भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप H2O के नवीनतम संस्करण से कम या उसके बराबर संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2023-6013 को ठीक करने के लिए, H2O को नवीनतम संस्करण में अपडेट करें।
CVE-2023-6013 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह जल्द ही शोषण का लक्ष्य बन सकता है।
आप CVE-2023-6013 के लिए आधिकारिक H2O सलाहकार H2O की वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।