प्लेटफ़ॉर्म
nodejs
घटक
docmost
में ठीक किया गया
0.24.1
CVE-2026-22249 Docmost में एक मनमाना फ़ाइल एक्सेस भेद्यता है। यह भेद्यता हमलावरों को Docmost के Zip आयात सुविधा का उपयोग करके सिस्टम पर मनमाना फ़ाइलें लिखने की अनुमति देती है। यह भेद्यता Docmost के संस्करण 0.21.0 से 0.24.0 तक के संस्करणों को प्रभावित करती है। इस समस्या का समाधान Docmost के संस्करण 0.24.0 में किया गया है।
यह भेद्यता Docmost सर्वर पर गंभीर प्रभाव डाल सकती है। एक हमलावर इस भेद्यता का उपयोग करके सिस्टम पर मनमाना फ़ाइलें लिख सकता है, जिससे वे महत्वपूर्ण डेटा को संशोधित या हटा सकते हैं, दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं, या सिस्टम पर नियंत्रण प्राप्त कर सकते हैं। ZipSlip भेद्यता के कारण, हमलावर उन स्थानों पर फ़ाइलें लिख सकते हैं जिनकी उन्हें अपेक्षा नहीं थी, जिससे सिस्टम की सुरक्षा और अखंडता को खतरा हो सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहां कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं।
CVE-2026-22249 को अभी तक सक्रिय रूप से शोषण करने के कोई संकेत नहीं मिले हैं। यह भेद्यता 2026-01-15 को सार्वजनिक रूप से प्रकट की गई थी। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल नहीं किया है।
Organizations using Docmost for internal documentation or collaboration, particularly those running vulnerable versions (0.21.0 - 0.23.9) on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users have access to Docmost installations are also particularly vulnerable.
• nodejs: Monitor process execution for suspicious file creation or modification within the Docmost installation directory. Use ps aux | grep docmost to identify running processes and find /path/to/docmost -type f -mmin -60 to check for recently modified files.
• generic web: Examine access logs for POST requests to the Zip Import endpoint with unusual file extensions or filenames. Use grep -i "zip import" /var/log/apache2/access.log to identify relevant requests.
• generic web: Check response headers for errors related to file uploads or unexpected file content. Use curl -I <docmosturl>/zipimport to inspect headers.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-22249 के लिए तत्काल उपाय Docmost को संस्करण 0.24.0 में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो Zip आयात सुविधा को अस्थायी रूप से अक्षम करने पर विचार करें। इसके अतिरिक्त, फ़ायरवॉल नियमों को कॉन्फ़िगर करके या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल अपलोड को रोकने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। Docmost के नवीनतम सुरक्षा अपडेट के लिए आधिकारिक वेबसाइट की निगरानी करना भी महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए फ़ाइल आयात कार्यक्षमता का परीक्षण करें कि भेद्यता ठीक हो गई है।
Actualice Docmost a la versión 0.24.0 o superior. Esta versión corrige la vulnerabilidad de escritura arbitraria de archivos (ZipSlip) al validar correctamente los nombres de archivo durante la importación de archivos ZIP. La actualización previene la posible ejecución de código malicioso mediante la manipulación de archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22249 Docmost के संस्करण 0.21.0 से 0.24.0 तक में Zip आयात सुविधा के माध्यम से मनमाना फ़ाइल लेखन की अनुमति देने वाली एक भेद्यता है, जिससे हमलावर सिस्टम पर मनमाना फ़ाइलें लिख सकते हैं।
यदि आप Docmost के संस्करण 0.21.0 और 0.23.9 के बीच चल रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। संस्करण 0.24.0 में सुधार किया गया है।
CVE-2026-22249 को ठीक करने के लिए, Docmost को संस्करण 0.24.0 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो Zip आयात सुविधा को अक्षम करें।
CVE-2026-22249 को अभी तक सक्रिय रूप से शोषण करने के कोई संकेत नहीं मिले हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
Docmost के आधिकारिक सलाहकार के लिए, कृपया Docmost की वेबसाइट पर जाएँ: [Docmost वेबसाइट का लिंक]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।