प्लेटफ़ॉर्म
nodejs
घटक
flowise-embed
में ठीक किया गया
2.1.1
2.0.0
CVE-2024-9148 एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो flowise-embed में पाई गई है। यह भेद्यता असुरक्षित इनपुट सैनिटाइजेशन के कारण होती है, जिससे हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं। flowise-embed के संस्करण 2.1.1 से पहले के संस्करण और Flowise Chat Embed के संस्करण 2.0.0 से पहले के संस्करण प्रभावित हैं। इस समस्या को संस्करण 2.0.0 में ठीक किया गया है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। हमलावर उपयोगकर्ता के सत्र कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह संग्रहीत XSS है, जिसका अर्थ है कि दुर्भावनापूर्ण स्क्रिप्ट डेटाबेस में संग्रहीत होती है और प्रत्येक बार जब कोई उपयोगकर्ता प्रभावित पृष्ठ को एक्सेस करता है तो निष्पादित होती है। एक हमलावर फ़िशिंग हमले शुरू कर सकता है, उपयोगकर्ता खातों को हाईजैक कर सकता है, या वेबसाइट की सामग्री को बदल सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभव है कि हमलावर इसका फायदा उठाने की कोशिश कर रहे हों। CISA ने इस CVE को सूचीबद्ध नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) मौजूद हो सकते हैं, जो इस भेद्यता का शोषण करने की प्रक्रिया को प्रदर्शित करते हैं।
Websites and applications that integrate Flowise Chat Embed versions prior to 2.0.0 are at risk. This includes developers who have directly included the package in their projects, as well as users of platforms or services that utilize Flowise Chat Embed without proper security controls. Shared hosting environments where multiple websites share the same server infrastructure are particularly vulnerable, as a compromise of one website could potentially affect others.
• nodejs / supply-chain:
npm list flowise-embedIf the version is less than 2.1.1, the system is vulnerable. • generic web: Inspect the Flowise Chat Embed integration for any unusual JavaScript behavior or unexpected redirects. Examine the source code for any user-controlled input that is not properly sanitized before being rendered. • generic web: Review access logs for suspicious requests containing JavaScript payloads targeting the chat embed functionality.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.93% (83% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-9148 के प्रभाव को कम करने के लिए, flowise-embed को संस्करण 2.0.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को ब्लॉक कर सके। इनपुट सैनिटाइजेशन को लागू करके और आउटपुट एन्कोडिंग का उपयोग करके अपने स्वयं के कोड में XSS भेद्यताओं को रोकने के लिए भी कदम उठाएं। यह सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, उदाहरण के लिए, एक परीक्षण स्क्रिप्ट चलाकर जो XSS हमले का अनुकरण करती है।
Flowise को संस्करण 2.1.1 या उच्चतर में अपडेट करें। इस संस्करण में संग्रहीत XSS भेद्यता के लिए सुधार शामिल है। भविष्य में होने वाले हमलों को रोकने के लिए सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज (Validate and Sanitize) करना सुनिश्चित करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-9148 flowise-embed में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो असुरक्षित इनपुट सैनिटाइजेशन के कारण होती है।
यदि आप flowise-embed के संस्करण 2.1.1 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
flowise-embed को संस्करण 2.0.0 या बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभव है।
कृपया flowise-embed के आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर संबंधित सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।