प्लेटफ़ॉर्म
vue
घटक
gin-vue-admin
में ठीक किया गया
0.0.1
CVE-2024-31457 gin-vue-admin में एक गंभीर कोड इंजेक्शन भेद्यता है, जो एक बैकस्टेज प्रबंधन प्रणाली है। यह भेद्यता हमलावरों को सिस्टम पर अनधिकृत क्रियाएं करने की अनुमति दे सकती है। यह भेद्यता gin-vue-admin के संस्करणों 2.6.1 और उससे पहले को प्रभावित करती है। 2024-04-09 को एक फिक्स जारी किया गया था।
यह भेद्यता हमलावरों को plugName पैरामीटर में हेरफेर करके डायरेक्टरी ट्रैवर्सल करने की अनुमति देती है। इसका मतलब है कि वे सिस्टम पर मनमाना फ़ाइलें बना और संशोधित कर सकते हैं, संभावित रूप से संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं या सिस्टम के सामान्य संचालन को बाधित कर सकते हैं। हमलावर api, config, global, model, router, service, और main.go जैसे विशिष्ट फ़ोल्डर बना सकते हैं, और इन फ़ोल्डरों के भीतर Go फ़ाइलें बना सकते हैं। इससे सिस्टम की सुरक्षा और अखंडता को गंभीर खतरा हो सकता है। इस तरह के भेद्यता का शोषण सिस्टम के नियंत्रण को प्राप्त करने और संवेदनशील जानकारी को उजागर करने के लिए किया जा सकता है।
CVE-2024-31457 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका मूल्यांकन किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने इस भेद्यता के लिए तारीखें जारी की हैं, जो 2024-04-09 को प्रकाशित हुई थी।
Organizations using gin-vue-admin for their backend management systems are at risk, particularly those running older, unpatched versions. Shared hosting environments where multiple users have access to the plugin management features are especially vulnerable, as a compromised plugin could affect the entire hosting instance. Any deployment relying on the default plugin template functionality without proper input validation is also at increased risk.
• linux / server:
find /opt/gin-vue-admin/plugins/ -name '*api*.go' -o -name '*config*.go' -o -name '*global*.go' -o -name '*model*.go' -o -name '*router*.go' -o -name '*service*.go' -o -name '*main.go*' 2>/dev/null• generic web:
curl -I 'http://your-gin-vue-admin-instance/plugins/api/some..directory.go' # Check for 403 or other error indicating traversal is blockeddisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.33% (56% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-31457 के प्रभाव को कम करने के लिए, gin-vue-admin को संस्करण 0.0.0-20240409100909-b1b7427c6ea6 में तुरंत अपडेट करना महत्वपूर्ण है। यदि तत्काल अपग्रेड संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके plugName पैरामीटर के लिए इनपुट सत्यापन लागू करने पर विचार करें। यह सुनिश्चित करें कि इनपुट केवल अपेक्षित वर्णों को ही स्वीकार करता है और डायरेक्टरी ट्रैवर्सल प्रयासों को रोकता है। इसके अतिरिक्त, सिस्टम लॉग की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, सिस्टम लॉग की जांच करके और यह सुनिश्चित करके कि कोई अनधिकृत फ़ाइलें नहीं बनाई गई हैं।
Actualice gin-vue-admin a la versión 0.0.0-20240409100909-b1b7427c6ea6 o posterior. Como alternativa, implemente manualmente el método de filtrado disponible en el GitHub Security Advisory para corregir el problema de directory traversal. Esto evitará la inyección de código arbitrario a través del parámetro `plugName`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-31457 gin-vue-admin में एक कोड इंजेक्शन भेद्यता है जो हमलावरों को डायरेक्टरी ट्रैवर्सल करने की अनुमति देती है।
यदि आप gin-vue-admin के संस्करण 0.0.0-20240409100909-b1b7427c6ea6 से पहले किसी भी संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
gin-vue-admin को संस्करण 0.0.0-20240409100909-b1b7427c6ea6 में तुरंत अपडेट करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए gin-vue-admin के रिलीज़ नोट्स या सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।