प्लेटफ़ॉर्म
go
घटक
github.com/esm-dev/esm.sh
में ठीक किया गया
0.0.1
136.0.1
CVE-2026-23644 esm.sh में एक पथ पारगमन भेद्यता है, जिसका अर्थ है कि हमलावर अनधिकृत फ़ाइलों तक पहुंच सकते हैं। यह भेद्यता तब मौजूद है जब path.Clean फ़ंक्शन पथ को ठीक से मान्य नहीं करता है, जिससे हमलावर मनमाना फ़ाइलें पढ़ने में सक्षम हो जाते हैं। प्रभावित संस्करण 136 या उससे कम हैं। इस समस्या को 20260116051925-c62ab83c589e संस्करण में ठीक कर दिया गया है।
यह भेद्यता एक हमलावर को सर्वर पर मनमाना फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें संवेदनशील डेटा, कॉन्फ़िगरेशन फ़ाइलें या स्रोत कोड शामिल हो सकते हैं। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता या आगे के हमले हो सकते हैं। चूंकि esm.sh का उपयोग कई परियोजनाओं में मॉड्यूल को होस्ट करने के लिए किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है। यह भेद्यता Log4Shell जैसे पिछले पथ पारगमन भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जहां हमलावर विशेष रूप से तैयार किए गए इनपुट का उपयोग करके सिस्टम फ़ाइलों तक पहुंच प्राप्त करते हैं।
CVE-2026-23644 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी CVSS स्कोर 7.5 (HIGH) है, जो मध्यम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (PoC) मौजूद हैं, जो भेद्यता के शोषण की संभावना को बढ़ाते हैं। इस CVE को 2026-01-20 को प्रकाशित किया गया था। सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण की संभावना बनी हुई है।
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using esm.sh as a CDN or module resolver. Developers who have integrated esm.sh into their build processes or deployment pipelines should prioritize upgrading to the patched version.
• linux / server:
journalctl -u esm.sh -f | grep -i "path traversal"• generic web:
curl -I <esm.sh_endpoint> | grep -i "path traversal"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CISA SSVC
सबसे महत्वपूर्ण शमन उपाय esm.sh को 20260116051925-c62ab83c589e या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या रिवर्स प्रॉक्सी का उपयोग करके पथ पारगमन हमलों को कम किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि ../ अनुक्रम। इसके अतिरिक्त, सुनिश्चित करें कि esm.sh इंस्टेंस उचित रूप से सुरक्षित हैं और केवल अधिकृत उपयोगकर्ताओं के लिए ही पहुंच योग्य हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई भी अनधिकृत फ़ाइलें अब सुलभ नहीं हैं।
Actualice el paquete esm.sh a la versión 0.0.0-20260116051925-c62ab83c589e o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura de archivos desde paquetes maliciosos. Utilice el gestor de paquetes npm o yarn para realizar la actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-23644 esm.sh में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाना फ़ाइलों को पढ़ने की अनुमति देती है। यह भेद्यता तब मौजूद है जब path.Clean फ़ंक्शन पथ को ठीक से मान्य नहीं करता है।
यदि आप esm.sh के संस्करण 136 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
esm.sh को 20260116051925-c62ab83c589e या बाद के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करके पथ पारगमन हमलों को कम करें।
सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण की संभावना बनी हुई है।
आधिकारिक सलाहकार के लिए esm.sh के GitHub रिपॉजिटरी की जाँच करें: https://github.com/esm-dev/esm.sh
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।