private-ip सर्वर-साइड रिक्वेस्ट फोर्जरी (Server-Side Request Forgery) के प्रति संवेदनशील है

यह SSRF भेद्यता हमलावरों को आंतरिक सेवाओं तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है जो सामान्य रूप से बाहरी दुनिया के लिए उजागर नहीं होती हैं। हमलावर संवेदनशील डेटा तक पहुंच सकते हैं, आंतरिक प्रणालियों को स्कैन कर सकते हैं, या यहां तक ​​कि आंतरिक सेवाओं पर हमला भी कर सकते हैं। multicast IP पतों का उपयोग करके, हमलावर उन सेवाओं तक पहुंच प्राप्त कर सकते हैं जो निजी नेटवर्क के भीतर ही उपलब्ध हैं। इस भेद्यता का शोषण करने से डेटा उल्लंघन, सेवा व्यवधान और अन्य गंभीर परिणाम हो सकते हैं।

Applications and services that rely on the private-ip Node.js package for IP address manipulation are at risk. This includes internal tools, APIs, and microservices that process IP addresses as part of their functionality. Specifically, deployments using older versions of Node.js and relying on outdated package versions are particularly vulnerable.

• nodejs / server:

  npm list private-ip

This command will list the installed version of the private-ip package. Check if the version is less than or equal to 3.0.2. • nodejs / server:

  grep -r 'private-ip' package.json

Search for the package in your project's package.json file to identify dependencies. • generic web: Review application logs for unusual outbound requests to multicast IP addresses (224.0.0.0/4).

1. 2025-07-23Disclosure

   disclosure

1. आरक्षित2025-07-22
2. प्रकाशित2025-07-23
3. संशोधित2025-09-25
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, private-ip पैकेज को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके बाहरी अनुरोधों को फ़िल्टर करने पर विचार करें ताकि multicast IP पतों को लक्षित किया जा सके। इसके अतिरिक्त, आंतरिक सेवाओं को केवल विश्वसनीय स्रोतों से ही एक्सेस करने की अनुमति देने के लिए नेटवर्क सुरक्षा नीतियों को कॉन्फ़िगर करें। यह सुनिश्चित करें कि आपके Node.js एप्लिकेशन में उचित इनपुट सत्यापन और सैनिटाइजेशन लागू किया गया है।