प्लेटफ़ॉर्म
php
घटक
clipbucket-v5
में ठीक किया गया
5.5.2
CVE-2025-21622 ClipBucket V5 में एक पथ ट्रैवर्सल भेद्यता है, जो वीडियो होस्टिंग के लिए एक ओपन-सोर्स PHP एप्लिकेशन है। इस भेद्यता के कारण, एक हमलावर अनधिकृत फ़ाइलों को हटा सकता है। यह भेद्यता ClipBucket के संस्करण 5.5.1 से पहले के संस्करणों को प्रभावित करती है। संस्करण 5.5.1 - 237 में इस समस्या का समाधान किया गया है।
यह भेद्यता एक हमलावर को ClipBucket सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है। हमलावर उपयोगकर्ता के अवतार अपलोड कार्यप्रवाह में पथ ट्रैवर्सल अनुक्रमों का उपयोग करके ऐसा कर सकता है। चूंकि फ़ाइल पथों को मान्य नहीं किया जाता है, इसलिए हमलावर ../ जैसे अनुक्रमों का उपयोग करके निर्देशिकाओं को पार कर सकता है और सर्वर पर संवेदनशील फ़ाइलों को हटा सकता है। इससे डेटा हानि, सेवा से इनकार और संभावित रूप से सर्वर पर नियंत्रण खो सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को ClipBucket इंस्टेंस तक पहुंच की आवश्यकता होती है और एक वैध उपयोगकर्ता के रूप में लॉग इन करने में सक्षम होना चाहिए।
CVE-2025-21622 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ ट्रैवर्सल भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं है। NVD और CISA ने इस CVE के लिए प्रकाशन की तारीख 2025-01-07 बताई है।
ClipBucket installations, particularly those running older versions (5.5.1 and below), are at risk. Shared hosting environments where multiple users share the same ClipBucket instance are especially vulnerable, as a compromised user account could be used to exploit the vulnerability and impact other users. Legacy configurations with permissive file upload settings also increase the risk.
• linux / server:
find /var/www/clipbucket/avatars -type f -name '*..*' 2>/dev/null # Check for files with suspicious names• generic web:
curl -I 'http://your-clipbucket-site.com/avatars/../../../../etc/passwd' # Attempt path traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
1.27% (79% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-21622 को कम करने के लिए, ClipBucket को संस्करण 5.5.1 - 237 में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर करें ताकि पथ ट्रैवर्सल अनुक्रमों (जैसे ../) वाले अनुरोधों को ब्लॉक किया जा सके। इसके अतिरिक्त, सुनिश्चित करें कि ClipBucket इंस्टेंस उचित फ़ाइल अनुमतियों के साथ कॉन्फ़िगर किया गया है ताकि अनधिकृत पहुंच को रोका जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, अवतार अपलोड कार्यप्रवाह का परीक्षण करके और यह सुनिश्चित करके कि अनधिकृत फ़ाइलों को हटाया नहीं जा सकता है।
Actualice ClipBucket a la versión 5.5.1 - 237 o superior. Esta versión corrige la vulnerabilidad de path traversal en la función de eliminación de avatares. La actualización evitará la eliminación de archivos fuera del directorio de avatares.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-21622 ClipBucket V5 में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों को हटाने की अनुमति देती है, जो उपयोगकर्ता अवतार अपलोड कार्यप्रवाह में पथ ट्रैवर्सल अनुक्रमों का उपयोग करके किया जा सकता है।
यदि आप ClipBucket के संस्करण 5.5.1 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-21622 को ठीक करने के लिए, ClipBucket को संस्करण 5.5.1 - 237 में अपग्रेड करें।
CVE-2025-21622 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
ClipBucket की आधिकारिक वेबसाइट पर CVE-2025-21622 के लिए सलाहकार खोजें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।