esm.sh में फ़ाइल समावेशन (File Inclusion) की समस्या github.com/esm-dev/esm.sh में है

यह भेद्यता हमलावरों को esm.sh सर्वर पर मनमाने ढंग से फ़ाइलें पढ़ने की अनुमति देती है। इसका उपयोग संवेदनशील डेटा, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या अन्य गोपनीय जानकारी को उजागर करने के लिए किया जा सकता है। एक सफल शोषण से सिस्टम की सुरक्षा से समझौता हो सकता है और संभावित रूप से अन्य प्रणालियों तक पहुँच प्राप्त हो सकती है। इस भेद्यता का प्रभाव मध्यम से उच्च हो सकता है, खासकर यदि esm.sh का उपयोग महत्वपूर्ण अनुप्रयोगों में किया जा रहा है।

Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using modern JavaScript build tools and frameworks. Developers who have integrated esm.sh into their workflows should prioritize upgrading to the patched version.

• go / server:

find /path/to/esm.sh -type f -name '*.go' -print0 | xargs -0 grep -i 'include' -A 5

• generic web:

curl -I https://your-esm-sh-instance/path/to/vulnerable/file?file=../../../../etc/passwd

1. 2025-09-24Disclosure

   disclosure

1. आरक्षित2025-09-12
2. प्रकाशित2025-09-24
3. संशोधित2026-03-03
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, esm.sh को संस्करण 136.0.1 या उच्चतर में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइल समावेशन को रोकने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर करने पर विचार करें। सुनिश्चित करें कि esm.sh सर्वर पर फ़ाइल अनुमतियाँ उचित रूप से सेट हैं और केवल आवश्यक उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँचने की अनुमति है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम की सुरक्षा स्कैन करें।