प्लेटफ़ॉर्म
discourse
घटक
rails
में ठीक किया गया
3.5.5
2025.11.1
2025.12.1
2026.1.1
CVE-2025-68662 एक सर्वर-साइड रिक्वेस्ट फोरी (SSRF) भेद्यता है जो Discourse डिस्कशन प्लेटफॉर्म में पाई गई है। यह भेद्यता FinalDestination में होस्टनाम सत्यापन प्रक्रिया में एक खामी के कारण उत्पन्न होती है, जिससे हमलावर SSRF सुरक्षा उपायों को बाईपास कर सकते हैं। यह भेद्यता Discourse के संस्करणों 3.5.4, 2025.11.2, 2025.12.1 और 2026.1.0 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 3.5.4 में ठीक किया गया है।
इस SSRF भेद्यता का फायदा उठाकर, एक हमलावर आंतरिक सेवाओं तक अनधिकृत पहुंच प्राप्त कर सकता है जो आमतौर पर बाहरी नेटवर्क से दुर्गम होती हैं। हमलावर आंतरिक संसाधनों को स्कैन करने, संवेदनशील डेटा निकालने या अन्य आंतरिक प्रणालियों पर हमले शुरू करने के लिए इस भेद्यता का उपयोग कर सकते हैं। यह भेद्यता संभावित रूप से डेटा उल्लंघनों, सिस्टम समझौता और अन्य गंभीर सुरक्षा घटनाओं का कारण बन सकती है। इस तरह की भेद्यता का उपयोग आंतरिक नेटवर्क में आगे बढ़ने के लिए किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
CVE-2025-68662 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि यह जल्द ही उपलब्ध हो सकता है। NVD और CISA ने इस CVE के लिए तारीखें प्रकाशित की हैं, जो 2026-01-28 को सार्वजनिक की गई थी।
Organizations running Discourse versions prior to 3.5.4, 2025.11.2, 2025.12.1, and 2026.1.0 are at risk. This includes those hosting Discourse on shared hosting environments, as the vulnerability could be exploited through a compromised Discourse instance. Discourse deployments with extensive internal network access are particularly vulnerable.
• discourse: Check Discourse version. If running a vulnerable version, upgrade immediately.
• generic web: Monitor access logs for unusual outbound requests originating from the Discourse server. Look for requests to internal IP addresses or unexpected domains.
• generic web: Examine response headers for signs of SSRF exploitation (e.g., unexpected Content-Type headers).
• linux / server: Use journalctl -u discourse to check for any error messages related to FinalDestination or hostname validation failures.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-68662 को कम करने का प्राथमिक तरीका Discourse को संस्करण 3.5.4 या बाद के संस्करण में अपग्रेड करना है, जिसमें यह भेद्यता ठीक की गई है। यदि अपग्रेड करना तुरंत संभव नहीं है, तो वर्तमान में कोई ज्ञात वर्कअराउंड उपलब्ध नहीं है। Discourse इंस्टेंस की सुरक्षा को मजबूत करने के लिए, आंतरिक सेवाओं तक पहुंच को सीमित करने और फ़ायरवॉल नियमों को लागू करने पर विचार करें। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, FinalDestination के होस्टनाम सत्यापन को मैन्युअल रूप से जांचें।
Discourse को संस्करण 3.5.4 या उससे ऊपर के संस्करण में अपडेट करें। यह FinalDestination में होस्टनाम सत्यापन भेद्यता को ठीक करेगा, संभावित SSRF सुरक्षा बायपास को रोक देगा। अपडेट Discourse व्यवस्थापक पैनल के माध्यम से किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68662 Discourse डिस्कशन प्लेटफॉर्म में एक SSRF भेद्यता है जो FinalDestination में होस्टनाम सत्यापन समस्या के कारण है। यह हमलावरों को SSRF सुरक्षा को बाईपास करने की अनुमति देता है।
यदि आप Discourse के संस्करण 3.5.4, 2025.11.2, 2025.12.1 या 2026.1.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-68662 को ठीक करने के लिए, Discourse को संस्करण 3.5.4 या बाद के संस्करण में अपग्रेड करें।
CVE-2025-68662 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि यह जल्द ही उपलब्ध हो सकता है।
आप आधिकारिक Discourse सलाहकार को यहां पा सकते हैं: [Discourse Advisory URL - Replace with actual URL when available]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।