प्लेटफ़ॉर्म
java
घटक
org.apache.commons:commons-vfs2
में ठीक किया गया
2.10.0
2.10.0
Apache Commons VFS के संस्करण 2.10.0 से पहले एक पथ पारगमन भेद्यता पाई गई है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है, जिससे डेटा उल्लंघन या सिस्टम समझौता हो सकता है। यह भेद्यता Apache Commons VFS के संस्करण 2.9.0 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए संस्करण 2.10.0 में अपग्रेड करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को फ़ाइल सिस्टम में मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, यदि वे उचित इनपुट प्रदान कर सकते हैं। विशेष रूप से, 'resolveFile' विधि में 'scope' पैरामीटर का उपयोग करते समय, एन्कोडेड '..' वर्णों (जैसे, '%2E%2E/bar.txt') का उपयोग करके, हमलावर उन फ़ाइलों को पुनः प्राप्त कर सकते हैं जो बेस फ़ाइल के वंशज नहीं हैं, बिना किसी अपवाद के फेंके। इससे संवेदनशील डेटा का प्रकटीकरण, सिस्टम फ़ाइलों का संशोधन या यहां तक कि मनमाना कोड निष्पादन भी हो सकता है, यह इस बात पर निर्भर करता है कि सिस्टम कैसे कॉन्फ़िगर किया गया है। यह भेद्यता समान पथ पारगमन भेद्यताओं के समान शोषण पैटर्न का पालन करती है, जो सिस्टम सुरक्षा के लिए एक महत्वपूर्ण खतरा पैदा करती है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। NVD और CISA ने 2025-03-23 को इस भेद्यता को प्रकाशित किया। सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण होने की संभावना है।
Applications and services that utilize Apache Commons VFS for file handling are at risk, particularly those that accept user-supplied file paths without proper validation. This includes web applications, file servers, and data processing pipelines. Legacy systems relying on older versions of Commons VFS are especially vulnerable.
• java / server:
find /path/to/your/app -name "commons-vfs2-*.jar" -print0 | xargs -0 jar -xf {} | grep -q 'resolveFile(String, NameScope)'• generic web:
curl -I 'http://your-app/path/../sensitive_file.txt' # Check for directory traversal responsesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.85% (75% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Apache Commons VFS को संस्करण 2.10.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथों को मान्य करने और एन्कोडेड '..' वर्णों को हटाने के लिए इनपुट सत्यापन लागू किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके फ़ाइल पथों में दुर्भावनापूर्ण पैटर्न की निगरानी और अवरुद्ध की जा सकती है। सिस्टम की सुरक्षा को और बढ़ाने के लिए, फ़ाइल सिस्टम अनुमतियों को कड़ा किया जाना चाहिए और केवल आवश्यक उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँच प्रदान की जानी चाहिए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल पथों के साथ परीक्षण करके सत्यापित करें।
Actualice Apache Commons VFS a la versión 2.10.0 o superior. Esta versión corrige la vulnerabilidad de path traversal. Reemplace la versión anterior de la biblioteca por la nueva en su proyecto.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-27553 Apache Commons VFS में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता संस्करण 2.10.0 से पहले के संस्करणों को प्रभावित करती है।
यदि आप Apache Commons VFS के संस्करण 2.9.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Apache Commons VFS को संस्करण 2.10.0 या बाद के संस्करण में अपग्रेड करें।
सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण होने की संभावना है।
आप आधिकारिक Apache Commons VFS सलाहकार यहाँ पा सकते हैं: [https://commons.apache.org/security/](https://commons.apache.org/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।