प्लेटफ़ॉर्म
go
घटक
github.com/esm-dev/esm.sh
में ठीक किया गया
136.0.1
0.0.0-20251117232647-9d77b88c3207
esm.sh CDN सेवा में एक Arbitrary File Access भेद्यता की पहचान की गई है, जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति दे सकती है। यह भेद्यता github.com/esm-dev/esm.sh में tarslip के कारण उत्पन्न होती है। प्रभावित संस्करण 0.0.0-20251117232647-9d77b88c3207 हैं। इस समस्या को हल करने के लिए, 0.0.0-20251117232647-9d77b88c3207 पर अपडेट करना आवश्यक है।
यह भेद्यता हमलावरों को esm.sh CDN सेवा पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। इसका मतलब है कि वे महत्वपूर्ण सिस्टम फ़ाइलों को संशोधित कर सकते हैं, दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, या संवेदनशील डेटा चुरा सकते हैं। इस भेद्यता का उपयोग करके, हमलावर CDN सेवा के संचालन को बाधित कर सकते हैं या उपयोगकर्ताओं को दुर्भावनापूर्ण सामग्री वितरित कर सकते हैं। tarslip के कारण, यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को CDN के बुनियादी ढांचे में गहराई से प्रवेश करने की अनुमति दे सकती है।
CVE-2025-65025 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता सार्वजनिक रूप से ज्ञात है और एक सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध हो सकता है। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। NVD प्रकाशन तिथि 2025-11-25 है।
Organizations relying on the esm.sh CDN service for delivering JavaScript packages are at risk. This includes developers and teams using Node.js, React, Angular, or other JavaScript-based frameworks. Specifically, those using older versions of the github.com/esm-dev/esm.sh component are vulnerable.
• go: Inspect the github.com/esm-dev/esm.sh component for versions prior to 0.0.0-20251117232647-9d77b88c3207 using go list -m github.com/esm-dev/esm.sh.
• generic web: Monitor CDN logs for unusual file write activity, particularly requests containing suspicious file paths or payloads.
• generic web: Use curl to probe for potential file write endpoints, attempting to write files to unexpected locations. Example: curl -X POST -d '...' <cdn_url>/path/to/potential/write/endpoint
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-65025 को कम करने के लिए, esm.sh CDN सेवा को तुरंत 0.0.0-20251117232647-9d77b88c3207 पर अपडेट किया जाना चाहिए। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम पर सख्त पहुंच नियंत्रण लागू किया जा सकता है ताकि हमलावरों को संवेदनशील फ़ाइलों तक पहुंचने से रोका जा सके। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके tarslip हमलों को ब्लॉक किया जा सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए सिस्टम लॉग की समीक्षा करें कि कोई अनधिकृत फ़ाइल संशोधन नहीं हुआ है।
Actualice el servicio esm.sh a la versión 136 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que atacantes escriban archivos en ubicaciones arbitrarias en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-65025 esm.sh CDN सेवा में tarslip के कारण Arbitrary File Access भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है।
यदि आप esm.sh CDN सेवा का उपयोग कर रहे हैं और आपका संस्करण 0.0.0-20251117232647-9d77b88c3207 से पहले का है, तो आप प्रभावित हैं।
CVE-2025-65025 को ठीक करने के लिए, esm.sh CDN सेवा को 0.0.0-20251117232647-9d77b88c3207 पर अपडेट करें।
CVE-2025-65025 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
आधिकारिक esm.sh सलाहकार के लिए, कृपया esm.sh की सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।