प्लेटफ़ॉर्म
java
घटक
org.opencastproject:opencast-user-interface-configuration
में ठीक किया गया
17.7.1
18.0.1
17.7
CVE-2025-55202 एक पथ पारगमन भेद्यता है जो OpenCast User Interface Configuration मॉड्यूल में पाई गई है। यह भेद्यता हमलावरों को विशिष्ट परिस्थितियों में फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता OpenCast के संस्करण 9.9 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 17.7 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को OpenCast इंस्टॉलेशन के भीतर अन्य फ़ाइलों तक पहुँचने की अनुमति दे सकती है, खासकर यदि वे फ़ाइलें Opencast प्रक्रिया द्वारा पठनीय हैं। उदाहरण के लिए, यदि /etc/opencast/ui-config निर्देशिका मौजूद है और /etc/opencast/ui-config-hidden जैसी एक समान नाम वाली निर्देशिका मौजूद है, तो हमलावर ui-config-hidden निर्देशिका में फ़ाइलों तक पहुँच सकते हैं। सामान्य पथ पारगमन संभव नहीं है, लेकिन विशिष्ट फ़ाइल संरचनाओं का फायदा उठाया जा सकता है। इस भेद्यता का उपयोग संवेदनशील जानकारी को उजागर करने या सिस्टम के व्यवहार को बदलने के लिए किया जा सकता है।
यह भेद्यता अभी तक KEV (CISA Known Exploited Vulnerabilities) में शामिल नहीं की गई है। CVSS स्कोर 2.5 है, जो कम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2025-08-29 को प्रकाशित की गई थी।
Organizations deploying OpenCast for video management and streaming, particularly those using legacy configurations or shared hosting environments, are at risk. Systems with default directory structures and permissive file permissions are especially vulnerable.
• linux / server:
find /etc/opencast/ui-config/ -type f -perm -o -r -print0 | xargs -0 ls -l | grep -i 'ui-config-hidden'• java / server: Monitor OpenCast application logs for unusual file access attempts or errors related to path traversal. Look for patterns indicating attempts to access files outside the expected configuration directory. • generic web: Examine web server access logs for requests targeting the UI configuration endpoint with unusual path parameters. Look for attempts to manipulate the path to access files outside the intended directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, OpenCast को संस्करण 17.7 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो फ़ाइल अनुमतियों को सख्त करके और यह सुनिश्चित करके कि केवल आवश्यक उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुँच है, अस्थायी शमन उपाय लागू किए जा सकते हैं। WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को भी लागू किया जा सकता है जो पथ पारगमन प्रयासों का पता लगाते हैं और उन्हें अवरुद्ध करते हैं।
पाथ ट्रावर्सल भेद्यता को ठीक करने के लिए Opencast को संस्करण 17.7 या उच्चतर, या संस्करण 18.1 में अपडेट करें। एक अस्थायी उपाय के रूप में, उपयोगकर्ता इंटरफ़ेस कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि कोई ऐसा फ़ोल्डर नहीं है जो ui-config फ़ोल्डर के समान पथ से शुरू होता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-55202 OpenCast User Interface Configuration मॉड्यूल में एक पथ पारगमन भेद्यता है जो हमलावरों को विशिष्ट परिस्थितियों में फ़ाइलों तक पहुँचने की अनुमति दे सकती है।
यदि आप OpenCast के संस्करण 9.9 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
OpenCast को संस्करण 17.7 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइल अनुमतियों को सख्त करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
OpenCast की वेबसाइट पर जाएँ और सुरक्षा सलाहकार अनुभाग देखें: [https://opencast.org/security](https://opencast.org/security)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।