प्लेटफ़ॉर्म
go
घटक
github.com/jon4hz/jellysweep
में ठीक किया गया
0.13.1
0.13.0
Jellysweep में एक भेद्यता पाई गई है, जहाँ अनियंत्रित डेटा का उपयोग छवि कैश API एंडपॉइंट में किया जा रहा है। यह भेद्यता हमलावरों को सिस्टम को प्रभावित करने की अनुमति दे सकती है। प्रभावित संस्करण 0.13.0 से पहले के सभी संस्करण हैं। इस समस्या को हल करने के लिए 0.13.0 पर अपग्रेड करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को Jellysweep एप्लिकेशन के छवि कैश API एंडपॉइंट के माध्यम से अनियंत्रित डेटा का उपयोग करने की अनुमति देती है। इसका परिणाम संभावित रूप से संवेदनशील जानकारी का प्रकटीकरण, सेवा से इनकार (DoS) या अन्य दुर्भावनापूर्ण गतिविधियों में हो सकता है। हमलावर छवि कैशिंग तंत्र को लक्षित करके सिस्टम संसाधनों को समाप्त कर सकते हैं या अनपेक्षित व्यवहार को ट्रिगर कर सकते हैं। इस भेद्यता का शोषण करने से सिस्टम की सुरक्षा और अखंडता से समझौता हो सकता है, जिससे डेटा हानि या अनधिकृत पहुंच हो सकती है।
CVE-2025-64178 के बारे में जानकारी अभी सार्वजनिक रूप से उपलब्ध नहीं है। इस भेद्यता के लिए कोई ज्ञात सार्वजनिक प्रमाण-अवधारणा (PoC) नहीं है। CISA KEV सूची में इसकी वर्तमान स्थिति अज्ञात है। इस भेद्यता की संभावना का मूल्यांकन अभी भी किया जा रहा है, और सक्रिय शोषण की कोई रिपोर्ट नहीं है।
Organizations that rely on jellysweep for image processing or caching are at risk. This includes developers and system administrators who manage jellysweep deployments. Environments where jellysweep is exposed to untrusted external networks are particularly vulnerable.
• go / server: Monitor application logs for unusual API requests related to image caching. Look for requests with excessively large payloads or unexpected data types.
journalctl -u jellysweep -f | grep "image cache API" • generic web: Use curl to test the image cache API endpoint with various payloads, including very large files or malformed data, to observe any abnormal behavior or resource consumption.
curl -F "image=@large_file.jpg" http://<jellysweep_server>/image_cache_apidisclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVE-2025-64178 को कम करने के लिए, Jellysweep को संस्करण 0.13.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो छवि कैश API एंडपॉइंट तक पहुंच को सीमित करने के लिए अस्थायी उपाय किए जा सकते हैं। फ़ायरवॉल नियमों का उपयोग करके या एक्सेस कंट्रोल लिस्ट (ACL) को कॉन्फ़िगर करके अनधिकृत पहुंच को अवरुद्ध किया जा सकता है। इसके अतिरिक्त, छवि कैशिंग तंत्र की निगरानी करना और किसी भी असामान्य गतिविधि के लिए अलर्ट सेट करना महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, छवि कैश API एंडपॉइंट के माध्यम से एक परीक्षण अनुरोध भेजें।
Jellysweep को संस्करण 0.13.0 या उच्चतर में अपडेट करें. यह संस्करण छवियों को डाउनलोड करने के लिए उपयोग किए जाने वाले URLs को सही ढंग से मान्य करके SSRF भेद्यता को ठीक करता है. अपडेट से प्रमाणित उपयोगकर्ताओं को सर्वर से मनमाना सामग्री डाउनलोड करने से रोका जा सकेगा.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-64178 Jellysweep में एक भेद्यता है जहाँ अनियंत्रित डेटा का उपयोग छवि कैश API एंडपॉइंट में किया जा रहा है, जिससे हमलावर सिस्टम को प्रभावित कर सकते हैं।
यदि आप Jellysweep के संस्करण 0.13.0 से पहले किसी भी संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-64178 को ठीक करने के लिए, Jellysweep को संस्करण 0.13.0 या बाद के संस्करण में अपग्रेड करें।
CVE-2025-64178 के सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन सतर्क रहना और तुरंत पैच लागू करना महत्वपूर्ण है।
आधिकारिक Jellysweep सलाहकार के लिए, कृपया Jellysweep के आधिकारिक वेबसाइट या GitHub रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।