प्लेटफ़ॉर्म
python
घटक
copier
में ठीक किया गया
9.9.2
9.9.1
CVE-2025-55201 एक Arbitrary File Access भेद्यता है जो Copier में पाई गई है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। Copier के संस्करण 9.9.0 और उससे पहले के संस्करण प्रभावित हैं। इस समस्या को 9.9.1 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Copier के भीतर फ़ाइल सिस्टम तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। Jinja टेम्पलेटिंग इंजन के माध्यम से, हमलावर संभावित रूप से संवेदनशील डेटा तक पहुँच सकते हैं या सिस्टम के व्यवहार को बदल सकते हैं। Copier की सुरक्षा मॉडल को बाईपास करके, हमलावर असुरक्षित Jinja एक्सटेंशन का उपयोग कर सकते हैं, जिससे वे मनमाने ढंग से फ़ाइलें एक्सेस कर सकते हैं। यह भेद्यता डेटा उल्लंघन, सिस्टम समझौता और अन्य गंभीर परिणामों का कारण बन सकती है।
इस भेद्यता के बारे में जानकारी 2025-08-18 को सार्वजनिक रूप से जारी की गई थी। वर्तमान में, इस भेद्यता के सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने का खतरा है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि जल्द ही PoC जारी किए जा सकते हैं।
Organizations and developers using Copier for project generation, particularly those relying on custom Jinja extensions or templates from untrusted sources, are at risk. Shared hosting environments where multiple users utilize Copier could also be vulnerable if templates are not properly isolated.
• python / project-generator:
import os
import subprocess
def check_copier_version():
try:
result = subprocess.run(['copier', '--version'], capture_output=True, text=True, check=True)
version = result.stdout.strip()
if version <= '9.9.0':
print(f"Copier version is vulnerable: {version}")
else:
print(f"Copier version is patched: {version}")
except FileNotFoundError:
print("Copier is not installed.")
except subprocess.CalledProcessError as e:
print(f"Error checking Copier version: {e}")
check_copier_version()• generic web: Check Copier configuration files for references to custom Jinja extensions or potentially unsafe template features.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
सबसे प्रभावी शमन उपाय Copier को संस्करण 9.9.1 या बाद के संस्करण में अपडेट करना है, जिसमें यह भेद्यता ठीक की गई है। यदि तत्काल अपग्रेड संभव नहीं है, तो असुरक्षित Jinja एक्सटेंशन के उपयोग को सीमित करने के लिए Copier के कॉन्फ़िगरेशन की समीक्षा करें। फ़ाइल सिस्टम एक्सेस को और प्रतिबंधित करने के लिए WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को लागू करने पर विचार करें। यदि संभव हो, तो --UNSAFE ध्वज के उपयोग को अक्षम करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए सिस्टम का परीक्षण करें कि भेद्यता ठीक हो गई है और कोई नया मुद्दा नहीं है।
Actualice la biblioteca Copier a la versión 9.9.1 o superior. Esto solucionará la vulnerabilidad de lectura/escritura arbitraria de archivos. Puede actualizar usando `pip install --upgrade copier`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-55201 Copier में एक Arbitrary File Access भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता Copier के संस्करण 9.9.0 और उससे पहले के संस्करणों को प्रभावित करती है।
यदि आप Copier के संस्करण 9.9.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Copier को संस्करण 9.9.1 या बाद के संस्करण में अपडेट करके इस भेद्यता को ठीक करें।
वर्तमान में, इस भेद्यता के सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने का खतरा है।
आधिकारिक Copier सलाहकार के लिए, कृपया Copier के दस्तावेज़ देखें या Copier की वेबसाइट पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।