प्लेटफ़ॉर्म
other
घटक
devtoys
में ठीक किया गया
2.0.1
CVE-2026-22685 DevToys में एक पथ पारगमन भेद्यता है, जो डेवलपर्स के लिए एक डेस्कटॉप एप्लिकेशन है। यह भेद्यता संस्करण 2.0.0.0 से 2.0.9.0 से पहले के संस्करणों को प्रभावित करती है। एक हमलावर दुर्भावनापूर्ण एक्सटेंशन पैकेज का उपयोग करके उपयोगकर्ता के सिस्टम पर मनमाने ढंग से फ़ाइलों को ओवरराइट कर सकता है। इस भेद्यता को ठीक करने के लिए, DevToys को संस्करण 2.0.9.0 में अपडेट करें।
यह भेद्यता हमलावरों को DevToys के एक्सटेंशन इंस्टॉलेशन तंत्र में कमजोरियों का फायदा उठाने की अनुमति देती है। विशेष रूप से, NUPKG आर्काइव के भीतर फ़ाइल पथों का पर्याप्त सत्यापन नहीं किया जाता है। एक हमलावर एक दुर्भावनापूर्ण एक्सटेंशन पैकेज बना सकता है जिसमें पथ पारगमन अनुक्रम जैसे ../../…/target-file शामिल हैं। जब DevToys इस पैकेज को संसाधित करता है, तो यह अनपेक्षित एक्सटेंशन निर्देशिका के बाहर फ़ाइलों को लिखने के लिए प्रेरित हो सकता है। इसका परिणाम उपयोगकर्ता के सिस्टम पर मनमाने फ़ाइलों को ओवरराइट करना हो सकता है, जो DevToys प्रक्रिया के विशेषाधिकारों के साथ होता है। यह सिस्टम समझौता, डेटा हानि या दुर्भावनापूर्ण सॉफ़्टवेयर के निष्पादन का कारण बन सकता है।
CVE-2026-22685 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन पथ पारगमन भेद्यताओं की प्रकृति के कारण, इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की गंभीरता और संभावित प्रभाव के कारण, यह शोषण के लिए एक लक्ष्य हो सकता है। CISA ने इस CVE को अपनी ज्ञात भेद्यता सूची (KEV) में शामिल नहीं किया है। NVD ने 2026-01-10 को प्रकाशन की तारीख दर्ज की है।
Developers who utilize DevToys, particularly those who routinely install extensions from various sources, are at heightened risk. Users who have not implemented robust security practices, such as disabling extension installation from untrusted sources, are also more vulnerable. Shared development environments or systems where multiple developers share the same DevToys installation could amplify the impact of a successful exploitation.
• windows / supply-chain: Monitor for unusual file creation activity within the DevToys installation directory (e.g., using Process Monitor). Check Autoruns for suspicious entries related to DevToys extensions.
Get-ChildItem -Path "C:\Program Files\DevToys\Extensions" -Recurse -Force | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} | Sort-Object LastWriteTime• generic web: While not directly applicable to DevToys, monitor network traffic for attempts to access or download DevToys extension packages from untrusted sources.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-22685 को कम करने का प्राथमिक तरीका DevToys को संस्करण 2.0.9.0 में अपडेट करना है, जिसमें भेद्यता को ठीक किया गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी उपाय के रूप में, DevToys द्वारा संसाधित एक्सटेंशन पैकेज की उत्पत्ति को सीमित करने पर विचार करें। केवल विश्वसनीय स्रोतों से एक्सटेंशन स्थापित करें। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके और महत्वपूर्ण सिस्टम फ़ाइलों के लिए सुरक्षा उपायों को लागू करके सिस्टम की सुरक्षा को मजबूत करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, DevToys के एक्सटेंशन इंस्टॉलेशन तंत्र का परीक्षण करें।
Actualice DevToys a la versión 2.0.9.0 o posterior. Descargue la última versión desde la página oficial o a través del mecanismo de actualización dentro de la aplicación. Esto corrige la vulnerabilidad de path traversal al instalar extensiones.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22685 DevToys में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को ओवरराइट करने की अनुमति देती है।
यदि आप DevToys के संस्करण 2.0.0.0 से 2.0.9.0 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
DevToys को संस्करण 2.0.9.0 में अपडेट करें।
CVE-2026-22685 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह शोषण के लिए एक लक्ष्य हो सकता है।
आधिकारिक सलाहकार के लिए DevToys वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।