प्लेटफ़ॉर्म
python
घटक
unstructured
में ठीक किया गया
0.18.19
0.18.18
unstructured लाइब्रेरी में एक पथ पारगमन भेद्यता की पहचान की गई है, जो संस्करण 0.9.3 या उससे कम वाले सिस्टम को प्रभावित करती है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण MSG फ़ाइलों को संसाधित करते समय फ़ाइल सिस्टम पर मनमाने ढंग से फ़ाइलों को लिखने या ओवरराइट करने की अनुमति देती है, जिससे संभावित रूप से गंभीर परिणाम हो सकते हैं। लाइब्रेरी के संस्करण 0.18.18 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को दुर्भावनापूर्ण .msg फ़ाइलें बनाने की अनुमति देती है जिनमें अटैचमेंट फ़ाइलनाम पथ पारगमन अनुक्रम (जैसे, ../../../etc/cron.d/malicious) शामिल हैं। जब process_attachments=True के साथ इस फ़ाइल को संसाधित किया जाता है, तो लाइब्रेरी अटैचमेंट को एक हमलावर-नियंत्रित पथ पर लिखती है। इससे मनमाने ढंग से फ़ाइल ओवरराइट और संभावित रूप से रिमोट कोड निष्पादन हो सकता है, उदाहरण के लिए, कॉन्फ़िगरेशन फ़ाइलों या क्रोन जॉब को ओवरराइट करके। इस भेद्यता का उपयोग सिस्टम के नियंत्रण को प्राप्त करने, संवेदनशील डेटा को उजागर करने या दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना मध्यम है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2026-02-03 को प्रकाशित हुई थी।
Organizations and developers using the unstructured Python library to process email attachments, particularly those handling untrusted email sources, are at significant risk. Systems with older versions of the library (≤0.9.3) and those lacking robust input validation are especially vulnerable. Shared hosting environments where multiple applications share the same filesystem are also at increased risk.
• python / server:
import os
import hashlib
def check_attachment_filename(filename):
# Check for path traversal sequences
if "../" in filename:
print(f"Potential path traversal detected in filename: {filename}")
return True
return False
# Example usage
filename = "../../../etc/cron.d/malicious.txt"
if check_attachment_filename(filename):
print("Malicious filename detected!")disclosure
एक्सप्लॉइट स्थिति
EPSS
0.12% (32% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-64712 को कम करने के लिए, लाइब्रेरी को संस्करण 0.18.18 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो process_attachments=False सेट करके अटैचमेंट प्रोसेसिंग को अक्षम करने पर विचार करें। इसके अतिरिक्त, फ़ायरवॉल या प्रॉक्सी सर्वर का उपयोग करके अनधिकृत फ़ाइल एक्सेस को सीमित करें। इनपुट सत्यापन लागू करें ताकि यह सुनिश्चित किया जा सके कि MSG फ़ाइलें दुर्भावनापूर्ण पथ पारगमन अनुक्रमों से मुक्त हैं।
लाइब्रेरी `unstructured` को संस्करण 0.18.18 या उच्चतर में अपडेट करें। यह दुर्भावनापूर्ण MSG फ़ाइलों को संसाधित करते समय पाथ ट्रावर्सल भेद्यता को ठीक करता है। अपडेट करने के लिए `pip install --upgrade unstructured` चलाएँ।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-64712 unstructured लाइब्रेरी में एक पथ पारगमन भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलों को लिखने या ओवरराइट करने की अनुमति देती है।
यदि आप unstructured लाइब्रेरी के संस्करण ≤0.9.3 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
लाइब्रेरी को संस्करण 0.18.18 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो अटैचमेंट प्रोसेसिंग को अक्षम करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना मध्यम है।
कृपया unstructured लाइब्रेरी के आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर संबंधित सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।