प्लेटफ़ॉर्म
python
घटक
guarddog
में ठीक किया गया
2.7.2
2.7.1
CVE-2026-22871 GuardDog में एक पथ पारगमन भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलें ओवरराइट करने और रिमोट कोड निष्पादित करने की अनुमति देता है। यह भेद्यता GuardDog के safe_extract() फ़ंक्शन में पाई गई है, जो PyPI पैकेजों को संभालने के दौरान असुरक्षित है। यह भेद्यता GuardDog के संस्करणों में मौजूद है जो 2.7.0 से कम या उसके बराबर हैं। संस्करण 2.7.1 में अपग्रेड करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को GuardDog द्वारा संसाधित PyPI पैकेजों के माध्यम से मनमाने कोड निष्पादित करने की अनुमति देती है। एक हमलावर एक दुर्भावनापूर्ण PyPI पैकेज बना सकता है जो safe_extract() फ़ंक्शन का शोषण करता है ताकि इच्छित निष्कर्षण निर्देशिका के बाहर एक फ़ाइल लिखी जा सके। यह फ़ाइल एक निष्पादन योग्य हो सकती है, जिसे तब सिस्टम पर निष्पादित किया जा सकता है, जिससे हमलावर को सिस्टम पर पूर्ण नियंत्रण मिल सकता है। इस भेद्यता का उपयोग संवेदनशील डेटा को चुराने, सिस्टम को दूषित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। यह भेद्यता Log4Shell जैसी अन्य रिमोट कोड निष्पादन भेद्यताओं के समान है, क्योंकि यह हमलावरों को सिस्टम पर दूर से कोड निष्पादित करने की अनुमति देती है।
CVE-2026-22871 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह सार्वजनिक रूप से उपलब्ध है और इसका शोषण किया जा सकता है। यह KEV (Know Exploited Vulnerability) सूची में नहीं है। EPSS (Exploit Prediction Score System) स्कोर अभी तक निर्धारित नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का शोषण करने की क्षमता को उजागर करते हैं। यह भेद्यता 2026-01-13 को प्रकाशित हुई थी।
Organizations utilizing GuardDog for automated software deployment, dependency management, or package extraction are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where third-party Python packages are automatically installed. Shared hosting environments where multiple users may have access to the system are particularly vulnerable.
• python / supply-chain:
import os
import zipfile
def safe_extract(archive_path, extract_to):
with zipfile.ZipFile(archive_path, 'r') as zipf:
for member in zipf.infolist():
# Check if the extracted path is within the allowed directory
if not extract_to in member.filename:
print(f"Suspicious file: {member.filename}")• generic web: Check for unusual file modifications in the GuardDog installation directory using file integrity monitoring tools.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.66% (71% शतमक)
CISA SSVC
CVE-2026-22871 के प्रभाव को कम करने के लिए, GuardDog को संस्करण 2.7.1 में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप GuardDog के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कर सकते हैं ताकि दुर्भावनापूर्ण PyPI पैकेजों को ब्लॉक किया जा सके। आप GuardDog के कॉन्फ़िगरेशन को भी संशोधित कर सकते हैं ताकि निष्कर्षण निर्देशिका को अधिक सुरक्षित बनाया जा सके। इसके अतिरिक्त, आप उन फ़ाइलों की निगरानी कर सकते हैं जो GuardDog द्वारा निष्कर्षण निर्देशिका में लिखी जा रही हैं ताकि किसी भी अनधिकृत गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, GuardDog के लॉग की जांच करें।
Actualice la herramienta GuardDog a la versión 2.7.1 o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución remota de código. Puede actualizar GuardDog utilizando el gestor de paquetes pip: `pip install --upgrade guarddog`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22871 GuardDog के safe_extract() फ़ंक्शन में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाने कोड निष्पादित करने की अनुमति देती है।
यदि आप GuardDog के संस्करण 2.7.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-22871 को ठीक करने के लिए, GuardDog को संस्करण 2.7.1 में अपग्रेड करें।
CVE-2026-22871 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक PoC मौजूद हैं।
अधिक जानकारी के लिए GuardDog की वेबसाइट पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।