एक प्रतिबंधित निर्देशिका में पथनाम की अनुचित सीमा ('Path Traversal') Crafty Controller में

यह पथ ट्रैवर्सल भेद्यता हमलावर को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुंचने और उन्हें संशोधित करने की अनुमति देती है, भले ही उनके पास सामान्य रूप से ऐसा करने की अनुमति न हो। हमलावर संवेदनशील डेटा तक पहुंच सकते हैं, सिस्टम कॉन्फ़िगरेशन फ़ाइलों को बदल सकते हैं, या यहां तक ​​कि सर्वर पर दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। रिमोट कोड निष्पादन की क्षमता के कारण, इस भेद्यता का शोषण करने से सिस्टम पर पूर्ण नियंत्रण हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणित उपयोगकर्ताओं को प्रभावित करती है, जिसका अर्थ है कि हमलावर को पहले सिस्टम तक पहुंच प्राप्त करने की आवश्यकता होती है, लेकिन एक बार ऐसा होने के बाद, वे व्यापक क्षति पहुंचा सकते हैं।

Organizations using Crafty Controller in environments where the File Operations API Endpoint is exposed to authenticated users are at risk. This includes deployments with custom integrations or applications that rely on this API. Legacy configurations with weak access controls are particularly vulnerable.

1. 2026-01-30Disclosure

   disclosure

1. आरक्षित2026-01-14
2. प्रकाशित2026-01-30
3. संशोधित2026-02-02
4. EPSS अद्यतन2026-03-23

Crafty Controller को संस्करण 4.8.0 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल एक्सेस को सख्त करने और अनधिकृत पहुंच को रोकने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ ट्रैवर्सल हमलों को ब्लॉक किया जा सकता है। सुनिश्चित करें कि सभी इनपुट को ठीक से मान्य और सैनिटाइज किया गया है ताकि हमलावर पथ ट्रैवर्सल तकनीकों का उपयोग करके सिस्टम फ़ाइलों तक पहुंचने से रोका जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल एक्सेस को प्रतिबंधित करके और संभावित हमले के प्रयासों की निगरानी करके।