प्लेटफ़ॉर्म
python
घटक
nltk
में ठीक किया गया
3.9.3
CVE-2026-0847 नेचुरल लैंग्वेज टूलकिट (NLTK) में एक गंभीर पाथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को सर्वर पर संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। यह भेद्यता NLTK के संस्करणों में मौजूद है जो 3.9.2 या उससे कम हैं। NLTK को नवीनतम संस्करण में अपग्रेड करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता NLTK के CorpusReader वर्गों में मौजूद है, जिसमें WordListCorpusReader, TaggedCorpusReader, और BracketParseCorpusReader शामिल हैं। ये वर्ग फ़ाइल पथों को ठीक से सैनिटाइज या मान्य नहीं करते हैं, जिससे हमलावरों को निर्देशिकाओं को पार करने और संवेदनशील फ़ाइलों तक पहुँचने की अनुमति मिलती है। मशीन लर्निंग एपीआई, चैटबॉट या एनएलपी पाइपलाइनों में उपयोगकर्ता-नियंत्रित फ़ाइल इनपुट को संसाधित करने वाली स्थितियों में यह भेद्यता विशेष रूप से महत्वपूर्ण है। एक हमलावर सर्वर पर संग्रहीत कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य संवेदनशील जानकारी तक पहुँच सकता है। इस भेद्यता का शोषण करने से डेटा उल्लंघन, सिस्टम समझौता या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं।
CVE-2026-0847 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, PoC का जल्द ही विकास होने की संभावना है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है।
Applications and systems utilizing NLTK for natural language processing tasks, particularly those that accept user-provided file inputs, are at risk. This includes machine learning APIs, chatbots, and NLP pipelines. Developers who have built custom corpus readers or extended NLTK functionality without proper input validation are also at increased risk.
• python / server:
import os
import glob
# Check for suspicious file paths in NLTK corpus readers
corpus_root = '/path/to/nltk/corpus'
for filename in glob.glob(os.path.join(corpus_root, '**', '*')): # Recursive search
if '..' in filename:
print(f'Suspicious file path found: {filename}')• linux / server:
# Monitor NLTK process for unusual file access patterns
journalctl -u nltk -f | grep -i 'open|read' | grep '..'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.29% (52% शतमक)
CISA SSVC
CVE-2026-0847 के लिए प्राथमिक शमन उपाय NLTK को नवीनतम संस्करण में अपग्रेड करना है, जिसमें भेद्यता को ठीक किया गया है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथों को मान्य करने और सैनिटाइज करने के लिए अतिरिक्त सुरक्षा जांच लागू की जा सकती है। वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके भी फ़ाइल पथ ट्रैवर्सल हमलों को कम किया जा सकता है। फ़ाइल पथों को मान्य करने के लिए नियमित अभिव्यक्ति का उपयोग करें और सुनिश्चित करें कि उपयोगकर्ता द्वारा प्रदान किए गए इनपुट को संसाधित करने से पहले सभी फ़ाइल पथों को सैनिटाइज किया गया है।
Actualice la biblioteca NLTK a una versión posterior a la 3.9.2. Esto solucionará la vulnerabilidad de path traversal. Puede actualizar usando pip: `pip install --upgrade nltk`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-0847 नेचुरल लैंग्वेज टूलकिट (NLTK) में एक पाथ ट्रैवर्सल भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप NLTK के संस्करण 3.9.2 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
NLTK को नवीनतम संस्करण में अपग्रेड करके इस समस्या का समाधान करें।
CVE-2026-0847 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन शोषण के लिए एक आकर्षक लक्ष्य है।
कृपया नेचुरल लैंग्वेज टूलकिट की आधिकारिक वेबसाइट पर जाएँ।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।