प्लेटफ़ॉर्म
nodejs
घटक
prompts-chat
में ठीक किया गया
0f8d4c381abd7b2d7478c9fdee9522149c2d65e5
CVE-2026-22661 prompts.chat में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण ज़िप फ़ाइलों का उपयोग करके क्लाइंट सिस्टम पर मनमाना फ़ाइलें लिखने की अनुमति देती है। यह भेद्यता prompts.chat के संस्करण 0.0.0–0f8d4c381abd7b2d7478c9fdee9522149c2d65e5 को प्रभावित करती है। इस समस्या को संस्करण 0f8d4c381abd7b2d7478c9fdee9522149c2d65e5 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को सर्वर-साइड फ़ाइलनाम सत्यापन की कमी का फायदा उठाकर, पथ पारगमन अनुक्रम ../ को स्किल फ़ाइल अभिलेखागार में इंजेक्ट करने की अनुमति देती है। जब इन अभिलेखागारों को असुरक्षित उपकरणों द्वारा निकाला जाता है, तो फ़ाइलें इच्छित निर्देशिका के बाहर लिखी जाती हैं, जिससे शेल इनिशियलाइज़ेशन फ़ाइलों को ओवरराइट किया जा सकता है और कोड निष्पादन प्राप्त किया जा सकता है। यह भेद्यता सिस्टम पर मनमाना कोड निष्पादित करने की क्षमता प्रदान करती है, जिससे संभावित रूप से डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। इस भेद्यता का उपयोग करके, हमलावर सिस्टम के नियंत्रण को पूरी तरह से हासिल कर सकते हैं।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसे भविष्य में जोड़ा जा सकता है। EPSS स्कोर अभी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-04-03 को प्रकाशित हुई थी।
Users of prompts.chat who are accepting skill files from untrusted sources are at significant risk. This includes developers integrating prompts.chat into their applications and users who are deploying prompts.chat in environments where they cannot fully control the input data. Shared hosting environments where multiple users share the same server are also particularly vulnerable.
• nodejs / server:
find /path/to/prompts.chat/skill_files -name '*[./\*]' -print• nodejs / server:
ps aux | grep prompts.chat | grep -i 'skill_files'• generic web: Inspect server logs for unusual file access patterns or errors related to ZIP archive extraction. • generic web: Check for unexpected files in the application's skill file directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-22661 के लिए तत्काल शमन उपाय प्रभावित संस्करण से नवीनतम संस्करण में अपग्रेड करना है (0f8d4c381abd7b2d7478c9fdee9522149c2d65e5)। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइलनाम सत्यापन को लागू करें ताकि पथ पारगमन अनुक्रमों को फ़िल्टर किया जा सके। इसके अतिरिक्त, स्किल फ़ाइलों को संभालने के लिए सर्वर-साइड फ़ाइलनाम सत्यापन को मजबूत करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, स्किल फ़ाइल अपलोड कार्यक्षमता का परीक्षण करें और फ़ाइलों को इच्छित निर्देशिका के बाहर लिखने का प्रयास करें।
Actualice a la versión 0.0.0 o posterior, que corrige la vulnerabilidad de recorrido de ruta. Esto implica actualizar el paquete 'prompts.chat' a la última versión disponible en el repositorio de GitHub.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22661 prompts.chat में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाना फ़ाइलें लिखने की अनुमति देती है।
यदि आप prompts.chat के संस्करण 0.0.0–0f8d4c381abd7b2d7478c9fdee9522149c2d65e5 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
प्रभावित संस्करण से नवीनतम संस्करण (0f8d4c381abd7b2d7478c9fdee9522149c2d65e5) में अपग्रेड करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए prompts.chat की सुरक्षा वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।