प्लेटफ़ॉर्म
linux
घटक
zimaos
में ठीक किया गया
1.5.1
CVE-2025-64427 ZimaOS में एक सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है। इस भेद्यता के कारण, प्रमाणित स्थानीय उपयोगकर्ता आंतरिक IP पतों को लक्षित करने वाले अनुरोधों को तैयार कर सकते हैं, जिससे आंतरिक HTTP/HTTPS सेवाओं तक अनधिकृत पहुंच संभव हो पाती है। यह भेद्यता ZimaOS के संस्करण 1.5.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.5.0 में अपग्रेड करके इस समस्या का समाधान किया जा सकता है।
यह SSRF भेद्यता एक प्रमाणित स्थानीय उपयोगकर्ता को ZimaOS सिस्टम के भीतर आंतरिक सेवाओं के साथ इंटरैक्ट करने की अनुमति देती है जो अन्यथा बाहरी रूप से या स्थानीय उपयोगकर्ताओं के लिए उजागर नहीं होती हैं। एक हमलावर आंतरिक वेब एप्लिकेशन, डेटाबेस या अन्य सेवाओं तक पहुंच प्राप्त कर सकता है जो आंतरिक नेटवर्क पर चल रही हैं। यह संवेदनशील डेटा के प्रकटीकरण, सिस्टम कॉन्फ़िगरेशन में अनधिकृत परिवर्तनों या यहां तक कि आंतरिक सेवाओं के माध्यम से आगे के हमले के लिए एक प्रवेश बिंदु का कारण बन सकता है। चूंकि भेद्यता को प्रमाणित स्थानीय पहुंच की आवश्यकता होती है, इसलिए इसका प्रभाव सीमित है, लेकिन यह अभी भी महत्वपूर्ण जोखिम पैदा करता है, खासकर उन वातावरणों में जहां आंतरिक सेवाओं को गलत तरीके से कॉन्फ़िगर किया गया है या कमजोर हैं।
CVE-2025-64427 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-02 को प्रकाशित हुई थी।
Organizations and individuals deploying ZimaOS in environments with sensitive internal services are at risk. This includes users who have not yet upgraded to version 1.5.0 and those who have not implemented compensating controls such as network segmentation or WAF rules to restrict outbound traffic.
• linux / server:
journalctl -u zimaos | grep -i "internal ip address"• linux / server:
ps aux | grep -i "internal ip address"• generic web:
curl -I http://<zimaos_ip>/internal_service_endpoint• generic web:
grep -i "internal ip address" /var/log/nginx/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-64427 को कम करने के लिए, ZimaOS को संस्करण 1.5.0 में अपग्रेड करना आवश्यक है, जिसमें इस भेद्यता के लिए एक फिक्स शामिल है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आंतरिक HTTP/HTTPS सेवाओं तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों या एक्सेस कंट्रोल लिस्ट (ACL) को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, ZimaOS में URL सत्यापन और प्रतिबंधों को मजबूत करने के लिए कॉन्फ़िगरेशन विकल्पों की समीक्षा करें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक सेवाओं तक अनधिकृत पहुंच के प्रयासों की निगरानी करके और URL सत्यापन तंत्र की प्रभावशीलता का परीक्षण करके।
ZimaOS को संस्करण 1.5.0 या बाद के संस्करण में अपडेट करें। इस संस्करण में SSRF भेद्यता के लिए सुधार शामिल है। पुराने संस्करणों के लिए कोई पैच उपलब्ध नहीं हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-64427 ZimaOS में एक सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है जो प्रमाणित स्थानीय उपयोगकर्ताओं को आंतरिक सेवाओं तक अनधिकृत पहुंच की अनुमति देती है।
यदि आप ZimaOS के संस्करण 1.5.0 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
ZimaOS को संस्करण 1.5.0 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो आंतरिक सेवाओं तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर करें।
हालांकि सार्वजनिक रूप से शोषण का कोई प्रमाण नहीं है, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक ZimaOS सलाहकार के लिए, कृपया ZimaOS वेबसाइट या संबंधित सुरक्षा चैनलों की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।