प्लेटफ़ॉर्म
nodejs
घटक
webcrack
में ठीक किया गया
2.14.1
2.14.1
CVE-2024-43373 एक Arbitrary File Access भेद्यता है जो webcrack मॉड्यूल में पाई गई है। यह भेद्यता Windows सिस्टम पर दुर्भावनापूर्ण कोड को संसाधित करते समय ट्रिगर होती है, जिससे हमलावर होस्ट सिस्टम पर फ़ाइलों को ओवरराइट कर सकते हैं। यह भेद्यता webcrack के संस्करणों को प्रभावित करती है 2.14.1 से पहले। इस समस्या को हल करने के लिए, webcrack को संस्करण 2.14.1 या बाद के संस्करण में अपडेट करें।
यह भेद्यता हमलावरों को webcrack मॉड्यूल के unpack bundles सुविधा और सेविंग सुविधा का उपयोग करके होस्ट सिस्टम पर मनमाने ढंग से फ़ाइलों को लिखने की अनुमति देती है। यदि मॉड्यूल नाम में Windows पथ विभाजक के साथ एक पथ ट्रैवर्सल अनुक्रम शामिल है, तो हमलावर इसका फायदा उठाकर होस्ट सिस्टम पर फ़ाइलों को ओवरराइट कर सकते हैं। इससे सिस्टम की स्थिरता से समझौता हो सकता है, संवेदनशील डेटा चोरी हो सकता है, या हमलावर सिस्टम पर मनमाना कोड निष्पादित कर सकते हैं। इस भेद्यता का उपयोग करके, हमलावर महत्वपूर्ण सिस्टम फ़ाइलों को दूषित कर सकते हैं, जिससे सिस्टम अनुपयोगी हो सकता है।
CVE-2024-43373 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन GitHub रिपॉजिटरी में भेद्यता का विवरण इंगित करता है कि इसका फायदा उठाया जा सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। यह भेद्यता 2024-08-14 को प्रकाशित हुई थी।
Organizations and developers using the webcrack Node.js package in their applications, particularly those deploying on Windows systems, are at risk. This includes developers integrating webcrack into custom tools or applications, and those relying on webcrack within larger Node.js projects. Shared hosting environments where multiple users share the same server are also at increased risk if one user's application is compromised.
• nodejs / server:
find / -name "webcrack" -type d -print0 | xargs -0 ls -l• nodejs / server:
ps aux | grep webcrack• generic web:
Inspect web server access logs for requests containing suspicious file paths or path traversal sequences (e.g., ../).
• generic web:
Review web application code for any instances where user-supplied input is used to construct file paths without proper sanitization.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.21% (43% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-43373 को कम करने के लिए, webcrack को संस्करण 2.14.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम पर फ़ाइलों को ओवरराइट करने से रोकने के लिए फ़ाइल सिस्टम अनुमतियों को सीमित करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके दुर्भावनापूर्ण अनुरोधों को ब्लॉक करें। वेबक्रैक के लिए, इनपुट सत्यापन को मजबूत करें और पथ ट्रैवर्सल हमलों को रोकने के लिए फ़ाइल नाम को सैनिटाइज करें।
Actualice la versión de webcrack a la versión 2.14.1 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el paquete utilizando npm o yarn.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-43373 webcrack मॉड्यूल में एक Arbitrary File Access भेद्यता है जो Windows सिस्टम पर दुर्भावनापूर्ण कोड को संसाधित करते समय फ़ाइलों को ओवरराइट करने की अनुमति देती है।
यदि आप webcrack के संस्करण 2.14.1 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-43373 को ठीक करने के लिए, webcrack को संस्करण 2.14.1 या बाद के संस्करण में अपडेट करें।
CVE-2024-43373 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है।
आधिकारिक webcrack सलाहकार GitHub रिपॉजिटरी में उपलब्ध है: [https://github.com/j4k0xb/webcrack](https://github.com/j4k0xb/webcrack)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।