प्लेटफ़ॉर्म
python
घटक
viewvc
में ठीक किया गया
1.1.1
1.2.1
ViewVC एक ब्राउज़र इंटरफ़ेस है जो CVS और Subversion संस्करण नियंत्रण रिपॉजिटरी के लिए उपयोग किया जाता है। CVE-2025-54141 ViewVC के standalone.py स्क्रिप्ट में एक भेद्यता है, जो संस्करण 1.1.0 से 1.1.31 और 1.2.0 से 1.2.3 तक के संस्करणों में होस्ट सर्वर के फ़ाइल सिस्टम की सामग्री को उजागर कर सकती है। यह भेद्यता संस्करण 1.2.4 में ठीक की गई है।
यह भेद्यता एक हमलावर को ViewVC सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति दे सकती है। एक हमलावर फ़ाइल सिस्टम को पार करने के लिए standalone.py स्क्रिप्ट का उपयोग कर सकता है, जिससे उन्हें कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य संवेदनशील डेटा तक पहुँच मिल सकती है। यह जानकारी का समझौता, सिस्टम का समझौता या आगे के हमलों के लिए एक आधार के रूप में उपयोग किया जा सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को ViewVC सर्वर तक पहुँच की आवश्यकता होगी और standalone.py स्क्रिप्ट को निष्पादित करने में सक्षम होना होगा।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसके लिए एक सार्वजनिक प्रमाण-अवधारणा (PoC) मौजूद हो सकता है। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। NVD में प्रकाशन तिथि 2025-07-22 है।
Organizations running ViewVC version 1.1.0 through 1.2.3, particularly those with publicly accessible ViewVC instances or those who have not regularly patched their ViewVC installations, are at significant risk. Shared hosting environments where multiple users share the same server and ViewVC installation are also particularly vulnerable.
• python / file-system:
find /opt/viewvc -name standalone.py• generic web:
curl -I http://your-viewvc-server/standalone.py?file=/etc/passwd• generic web:
grep -r 'standalone.py' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (47% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, ViewVC को तुरंत संस्करण 1.2.4 में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, standalone.py स्क्रिप्ट को सर्वर से हटा दिया जाना चाहिए या इसकी अनुमतियों को प्रतिबंधित किया जाना चाहिए ताकि यह फ़ाइल सिस्टम तक पहुँच न सके। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल सिस्टम तक अनधिकृत पहुँच को रोकने के लिए भी विचार किया जा सकता है।
Actualice ViewVC a la versión 1.1.31 o superior si está utilizando la rama 1.1.x, o a la versión 1.2.4 o superior si está utilizando la rama 1.2.x. Esto solucionará la vulnerabilidad de recorrido de directorios en el script standalone.py. Puede descargar la versión más reciente desde el sitio web oficial de ViewVC o desde el repositorio de código fuente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-54141 ViewVC के standalone.py स्क्रिप्ट में एक भेद्यता है जो फ़ाइल सिस्टम तक पहुँच प्रदान कर सकती है।
यदि आप ViewVC के संस्करण 1.1.0 से 1.2.3 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ViewVC को तुरंत संस्करण 1.2.4 में अपग्रेड करें।
CVE-2025-54141 के सक्रिय शोषण के बारे में जानकारी अभी तक उपलब्ध नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
आधिकारिक ViewVC सलाहकार के लिए, कृपया ViewVC वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।