प्लेटफ़ॉर्म
java
घटक
lsfusion.platform:web-client
में ठीक किया गया
6.0.1
6.1.1
6.1.1
lsfusion प्लेटफॉर्म में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) की पहचान की गई है, जो संस्करण 6.1 और उससे पहले को प्रभावित करती है। यह भेद्यता UploadFileRequestHandler फ़ंक्शन में मौजूद है, जहाँ 'sid' तर्क में हेरफेर करके हमलावर मनमाने फ़ाइल पथ तक पहुँच सकता है। प्रभावित संस्करण 6.1 और उससे पहले हैं, और इस समस्या को संस्करण 6.1.1 में ठीक किया गया है।
यह भेद्यता हमलावर को सिस्टम पर मनमाने फ़ाइलों तक पहुँचने की अनुमति देती है, संभावित रूप से संवेदनशील डेटा को उजागर करती है या सिस्टम को नुकसान पहुँचाती है। हमलावर वेब-क्लाइंट के माध्यम से दूर से इस भेद्यता का फायदा उठा सकता है। 'sid' तर्क में हेरफेर करके, वे सिस्टम फ़ाइलों को पढ़ सकते हैं, संशोधित कर सकते हैं या हटा सकते हैं, जिससे डेटा हानि, समझौता या सिस्टम अस्थिरता हो सकती है। इस भेद्यता का उपयोग आंतरिक संसाधनों तक पहुँचने और आगे के हमलों को शुरू करने के लिए भी किया जा सकता है।
यह भेद्यता सार्वजनिक रूप से उजागर की गई है और इसका फायदा उठाया जा सकता है। KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बनाते हैं। NVD और CISA द्वारा जारी किए गए अपडेट पर नज़र रखें।
Organizations deploying lsfusion platform in environments with limited access controls or those running older, unpatched versions (≤6.1) are at significant risk. Shared hosting environments utilizing lsfusion platform are particularly vulnerable due to the potential for cross-tenant exploitation.
• java / server:
find /path/to/lsfusion/platform/web-client/src/main/java/lsfusion/http/controller/file/ -name "UploadFileRequestHandler.java"• generic web:
curl -I 'http://your-lsfusion-server/path/to/file?sid=../../../../etc/passwd' # Check for 200 OK or other unexpected responsesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.40% (60% शतमक)
CISA SSVC
CVSS वेक्टर
lsfusion प्लेटफॉर्म को संस्करण 6.1.1 में अपग्रेड करना इस भेद्यता को ठीक करने का प्राथमिक तरीका है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके 'sid' तर्क के लिए इनपुट सत्यापन लागू किया जा सकता है। यह सुनिश्चित करें कि केवल अपेक्षित फ़ाइल पथों की अनुमति है और किसी भी अनपेक्षित वर्णों को फ़िल्टर किया जाए। इसके अतिरिक्त, फ़ाइल अपलोड हैंडलिंग लॉजिक की समीक्षा करें और सुनिश्चित करें कि यह सुरक्षित है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, अपलोड फ़ंक्शन के माध्यम से मनमाने फ़ाइल पथ तक पहुँचने का प्रयास करके।
Actualizar la plataforma lsfusion a una versión posterior a la 6.1 que corrija la vulnerabilidad de path traversal en el componente UploadFileRequestHandler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-13262 lsfusion प्लेटफॉर्म के संस्करण 6.1 और उससे पहले में एक पथ पारगमन भेद्यता है, जो हमलावरों को मनमाने फ़ाइल पथ तक पहुँचने की अनुमति देती है।
यदि आप lsfusion प्लेटफॉर्म के संस्करण 6.1 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
lsfusion प्लेटफॉर्म को संस्करण 6.1.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके इनपुट सत्यापन लागू करें।
यह भेद्यता सार्वजनिक रूप से उजागर की गई है और इसका फायदा उठाया जा सकता है।
lsfusion प्लेटफॉर्म सलाहकार के लिए lsfusion की वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।