प्लेटफ़ॉर्म
other
घटक
qbicrmgateway
QbiCRMGateway में एक पथ पारगमन भेद्यता पाई गई है, जो Ai3 द्वारा विकसित है। यह भेद्यता हमलावरों को अनधिकृत रूप से सिस्टम फ़ाइलों को डाउनलोड करने की अनुमति देती है। यह भेद्यता QbiCRMGateway के संस्करण 7.5.1 से 8.5.03 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, नवीनतम संस्करण में अपडेट करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को QbiCRMGateway सर्वर पर संग्रहीत संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप या अन्य महत्वपूर्ण डेटा को डाउनलोड कर सकते हैं। इस जानकारी का उपयोग आगे के हमलों को करने, डेटा चोरी करने या सिस्टम को नियंत्रित करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह अनधिकृत हमलावरों द्वारा शोषण किया जा सकता है, जिससे संभावित रूप से गंभीर परिणाम हो सकते हैं। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता और प्रतिष्ठा को नुकसान हो सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में जोड़ा गया है, जो इसके उच्च जोखिम को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इसका शोषण करना आसान हो जाता है। सक्रिय शोषण अभियान की जानकारी अभी तक उपलब्ध नहीं है, लेकिन सतर्क रहना और तुरंत शमन कदम उठाना महत्वपूर्ण है।
Organizations utilizing QbiCRMGateway in production environments, particularly those with publicly accessible instances or those lacking robust access controls, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially leverage this vulnerability to access data belonging to other users.
• linux / server:
journalctl -u qbicrmgateway -g 'file access' | grep '../'• generic web:
curl -I 'http://your-qbicrmgateway-url/../../../../etc/passwd' # Check for 200 OK responsedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (27% शतमक)
CISA SSVC
CVSS वेक्टर
QbiCRMGateway के नवीनतम संस्करण में अपडेट करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियम लागू किए जा सकते हैं। इसके अतिरिक्त, फ़ाइल एक्सेस नियंत्रण को कड़ा करना और अनावश्यक फ़ाइलों को हटाना जोखिम को कम करने में मदद कर सकता है। यह सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य किया गया है और फ़ाइल पथों को सुरक्षित रूप से संभाला गया है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है और सिस्टम सामान्य रूप से काम कर रहा है।
Actualice QbiCRMGateway a una versión posterior a 8.5.03 que corrija la vulnerabilidad de Path Traversal. Consulte el sitio web del proveedor Ai3 para obtener la última versión y las instrucciones de actualización. Si no hay una versión disponible, contacte al proveedor para obtener un parche.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-9639 QbiCRMGateway में एक पथ पारगमन भेद्यता है जो हमलावरों को सिस्टम फ़ाइलों को डाउनलोड करने की अनुमति देती है। यह भेद्यता संस्करण 7.5.1 से 8.5.03 तक के संस्करणों को प्रभावित करती है।
यदि आप QbiCRMGateway के संस्करण 7.5.1 और 8.5.03 के बीच उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने का सबसे अच्छा तरीका QbiCRMGateway के नवीनतम संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो WAF नियमों को लागू करें और फ़ाइल एक्सेस नियंत्रण को कड़ा करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। सक्रिय शोषण अभियान की जानकारी अभी तक उपलब्ध नहीं है, लेकिन सतर्क रहना महत्वपूर्ण है।
कृपया Ai3 की वेबसाइट पर जाएँ या उनके सुरक्षा सलाहकार के लिए उनकी सहायता दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।