प्लेटफ़ॉर्म
other
घटक
aliasvault
में ठीक किया गया
0.23.2
AliasVault एक गोपनीयता-केंद्रित पासवर्ड मैनेजर है जिसमें बिल्ट-इन ईमेल एलियासिंग है। CVE-2025-59344 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो AliasVault API संस्करण 0.23.0 और उससे पहले में मौजूद है। यह भेद्यता एक प्रमाणित उपयोगकर्ता को आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। प्रभावित संस्करण 0.23.0 और उससे पहले के हैं, और इसे 0.23.1 में ठीक किया गया है।
यह SSRF भेद्यता एक प्रमाणित, निम्न-विशेषाधिकार वाले उपयोगकर्ता को AliasVault API के favicon निष्कर्षण सुविधा का उपयोग करके आंतरिक सेवाओं और संसाधनों तक पहुंचने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण URL प्रदान कर सकते हैं, और AliasVault बैकएंड स्वचालित रूप से रीडायरेक्ट का पालन करेगा और लूपबैक या आंतरिक IP रेंज में अनुरोधों को ब्लॉक नहीं करेगा। इससे हमलावर आंतरिक नेटवर्क संसाधनों तक पहुंच प्राप्त कर सकता है, संवेदनशील डेटा उजागर कर सकता है, या अन्य आंतरिक प्रणालियों पर हमला करने के लिए इसका उपयोग कर सकता है। यह भेद्यता AliasVault के भीतर गोपनीयता और सुरक्षा को गंभीर रूप से खतरे में डाल सकती है।
यह भेद्यता अभी तक सार्वजनिक रूप से सक्रिय रूप से शोषण नहीं की गई है, लेकिन SSRF भेद्यताएँ अक्सर शोषण के लिए आसान होती हैं। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध होने की संभावना है, जो इस भेद्यता के शोषण को और आसान बना सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। NVD प्रकाशन तिथि 2025-09-19 है।
Organizations utilizing AliasVault's API for favicon extraction, particularly those with internal services accessible from the AliasVault server, are at risk. Shared hosting environments where AliasVault instances share network resources are also particularly vulnerable.
• linux / server: Monitor AliasVault API logs for outbound requests to internal IP addresses (127.0.0.1, 192.168.x.x, 10.x.x.x). Use journalctl -u aliasvault to filter for relevant log entries.
journalctl -u aliasvault | grep -i 'internal ip' • generic web: Use curl to test the favicon extraction endpoint with a URL pointing to an internal resource. Observe the response code and any error messages.
curl -v 'https://<aliasvault_url>/api/favicon?url=http://127.0.0.1' disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
AliasVault API को संस्करण 0.23.1 या बाद के संस्करण में अपग्रेड करना इस भेद्यता को ठीक करने का प्राथमिक तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके AliasVault API के लिए आने वाले अनुरोधों को फ़िल्टर कर सकते हैं, ताकि आंतरिक IP रेंज या अन्य दुर्भावनापूर्ण डोमेन को लक्षित करने वाले अनुरोधों को ब्लॉक किया जा सके। इसके अतिरिक्त, favicon निष्कर्षण सुविधा को अस्थायी रूप से अक्षम करने पर विचार करें यदि यह आपके उपयोग के लिए आवश्यक नहीं है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, favicon निष्कर्षण सुविधा का परीक्षण करें।
एलियासवॉल्ट को संस्करण 0.23.1 या उससे ऊपर के संस्करण में अपडेट करें। इस संस्करण में फेविकॉन एक्सट्रैक्शन में SSRF भेद्यता के लिए एक सुधार शामिल है। अपडेट दुर्भावनापूर्ण उपयोगकर्ताओं द्वारा आंतरिक होस्ट पर अनुरोध करने के जोखिम को कम कर देगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59344 AliasVault API में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो आंतरिक संसाधनों तक अनधिकृत पहुंच की अनुमति देती है।
यदि आप AliasVault API संस्करण 0.23.0 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
AliasVault API को संस्करण 0.23.1 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या favicon निष्कर्षण सुविधा को अक्षम करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन सार्वजनिक PoC उपलब्ध होने की संभावना है।
AliasVault की वेबसाइट या सुरक्षा सलाहकार अनुभाग पर जाएँ, या CVE डेटाबेस में जानकारी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।