Gin-vue-admin में पथ पारगमन (path traversal) के कारण मनमाना फ़ाइल अपलोड भेद्यता है github.com/flipped-aurora/gin-vue-admin में

पथ पारगमन भेद्यता का मतलब है कि एक हमलावर फ़ाइल सिस्टम में अनधिकृत स्थानों पर फ़ाइलें अपलोड कर सकता है। gin-vue-admin के संदर्भ में, इसका मतलब है कि एक हमलावर दुर्भावनापूर्ण फ़ाइलें अपलोड कर सकता है, जैसे कि वेबशेल, जो उन्हें सर्वर पर दूरस्थ रूप से कोड निष्पादित करने की अनुमति देगा। वे संवेदनशील डेटा भी चुरा सकते हैं या सिस्टम को दूषित कर सकते हैं। इस भेद्यता का उपयोग करके, हमलावर सर्वर पर नियंत्रण प्राप्त कर सकते हैं और अन्य सिस्टम तक पहुंच प्राप्त कर सकते हैं, जिससे व्यापक क्षति हो सकती है। यह भेद्यता लॉग4शेल जैसी अन्य गंभीर भेद्यताओं के समान शोषण पैटर्न का पालन कर सकती है, जहां एक साधारण अनुरोध के माध्यम से गंभीर परिणाम प्राप्त किए जा सकते हैं।

Organizations using Gin-vue-admin in production environments, particularly those with sensitive data or critical applications, are at risk. Environments with weak file upload validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users have upload capabilities also face increased risk.

• go / server:

find /var/log/gin-vue-admin -type f -name '*.log' -print0 | xargs -0 grep -i 'file upload'

• generic web:

curl -I <target_url>/upload | grep 'Content-Type'

1. 2026-01-23Disclosure

   disclosure

1. आरक्षित2026-01-09
2. प्रकाशित2026-01-23
3. संशोधित2026-03-03
4. EPSS अद्यतन2026-03-23

CVE-2026-22786 के लिए प्राथमिक शमन उपाय gin-vue-admin को संस्करण 2.8.8 में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड फ़ंक्शन के लिए इनपुट सत्यापन और फ़ाइल प्रकार प्रतिबंध लागू करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अपलोड पथ को सीमित करना भी मदद कर सकता है। सुनिश्चित करें कि फ़ाइल अपलोड निर्देशिका उचित रूप से सुरक्षित है और केवल आवश्यक उपयोगकर्ताओं द्वारा ही सुलभ है। अपग्रेड के बाद, यह सत्यापित करने के लिए कि भेद्यता ठीक हो गई है, अपलोड फ़ंक्शन का परीक्षण करें और सुनिश्चित करें कि अनधिकृत फ़ाइलें अपलोड नहीं की जा सकती हैं।