प्लेटफ़ॉर्म
c
घटक
bacnet-stack
में ठीक किया गया
1.5.1
BACnet Stack एक ओपन-सोर्स BACnet प्रोटोकॉल स्टैक C लाइब्रेरी है, जिसका उपयोग एम्बेडेड सिस्टम में किया जाता है। संस्करण 1.5.0.rc3 से पहले, BACnet Stack की फ़ाइल लेखन कार्यक्षमता में एक भेद्यता पाई गई है, जहाँ उपयोगकर्ता द्वारा प्रदान किए गए फ़ाइल पथों का सत्यापन नहीं किया जाता है, जिससे हमलावरों को मनमाने ढंग से निर्देशिकाओं में फ़ाइलें लिखने की अनुमति मिलती है। यह भेद्यता 1.5.0.rc3 में ठीक की गई है।
यह भेद्यता हमलावरों को सिस्टम पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से महत्वपूर्ण डेटा से समझौता किया जा सकता है या सिस्टम की कार्यक्षमता में हेरफेर किया जा सकता है। हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, सिस्टम कॉन्फ़िगरेशन बदल सकते हैं, या दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। यह भेद्यता विशेष रूप से उन प्रणालियों के लिए गंभीर है जो BACnet प्रोटोकॉल का उपयोग करती हैं और महत्वपूर्ण बुनियादी ढांचे को नियंत्रित करती हैं, जैसे कि बिल्डिंग ऑटोमेशन सिस्टम। इस प्रकार की भेद्यता का शोषण सिस्टम की सुरक्षा को गंभीर रूप से कमजोर कर सकता है।
यह CVE अभी हाल ही में प्रकाशित हुआ है (2026-02-13)। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (PoC) की जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CISA KEV सूची में शामिल होने की संभावना है, क्योंकि यह एक महत्वपूर्ण भेद्यता है।
Systems utilizing BACnet Stack in embedded devices, particularly those with limited security controls or exposed file systems, are at risk. This includes industrial control systems (ICS), building automation systems, and other IoT deployments relying on BACnet communication. Legacy systems running older versions of BACnet Stack are particularly vulnerable.
• linux / server:
find / -type f -name '*bacnet*' -mtime -7 -ls• linux / server:
journalctl -f | grep -i "bacnet"• generic web:
curl -I http://your-bacnet-system/ | grep -i "Content-Type"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVSS वेक्टर
भेद्यता को कम करने के लिए, BACnet Stack को संस्करण 1.5.0.rc3 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो फ़ाइल लेखन कार्यक्षमता तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों या एक्सेस कंट्रोल लिस्ट (ACL) का उपयोग किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन को लागू करना और फ़ाइल पथों को मान्य करना महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि वे अपेक्षित निर्देशिका के भीतर हैं। अपग्रेड के बाद, यह सत्यापित करें कि फ़ाइल लेखन कार्यक्षमता अपेक्षित रूप से काम कर रही है और कोई अनधिकृत फ़ाइलें नहीं लिखी जा रही हैं।
Actualice la biblioteca BACnet Stack a la versión 1.5.0.rc3 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorios que permite la escritura de archivos en ubicaciones arbitrarias. La actualización evitará que atacantes exploten esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-21878 BACnet Stack में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है।
यदि आप BACnet Stack के संस्करण 1.5.0.rc3 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
BACnet Stack को संस्करण 1.5.0.rc3 या बाद के संस्करण में अपग्रेड करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए BACnet Stack परियोजना वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।