बोआ वेब सर्वर - CWE-22: प्रतिबंधित निर्देशिका में पथनाम की अनुचित सीमा ('Path Traversal')

यह भेद्यता हमलावरों को सर्वर की फ़ाइल प्रणाली में मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। एक सफल शोषण के परिणामस्वरूप गोपनीय जानकारी का खुलासा हो सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या उपयोगकर्ता डेटा। चूंकि Boa वेब सर्वर अब समर्थित नहीं है, इसलिए भेद्यता को कम करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है। हमलावर इस भेद्यता का उपयोग सर्वर पर आगे की दुर्भावनापूर्ण गतिविधियों को करने के लिए भी कर सकते हैं, जैसे कि वेबशेल स्थापित करना या अन्य सिस्टम तक पहुँच प्राप्त करना।

Organizations still utilizing the Boa web server, particularly those running it on legacy systems or embedded devices, are at significant risk. Shared hosting environments where Boa is used are also vulnerable, as a compromise of one user's instance could potentially expose the entire server.

1. 2024-11-14Disclosure

   disclosure

1. आरक्षित2024-10-06
2. प्रकाशित2024-11-14
3. EPSS अद्यतन2026-04-02

चूंकि Boa वेब सर्वर अब समर्थित नहीं है, इसलिए भेद्यता को कम करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है। सबसे सुरक्षित उपाय Boa वेब सर्वर को पूरी तरह से बंद करना है। यदि सर्वर को बंद करना संभव नहीं है, तो एक आधुनिक वेब सर्वर (जैसे Apache या Nginx) में माइग्रेट करने पर विचार करें। एक वैकल्पिक उपाय वेब सर्वर के सामने एक वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात करना है जो पथ पारगमन हमलों को ब्लॉक कर सकता है। WAF को इस तरह से कॉन्फ़िगर किया जाना चाहिए कि यह पथ पारगमन पैटर्न का पता लगाए और उन्हें रोक दे।