प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
1.10.1
1.10.1
CVE-2026-24478 Drupal Core में एक गंभीर पथ ट्रैवर्सल भेद्यता है। इस भेद्यता का फायदा उठाकर हमलावर सर्वर पर मनमाने ढंग से फ़ाइलें लिख सकते हैं, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है। यह भेद्यता Drupal Core के संस्करणों में मौजूद है जो 1.10.0 से कम या उसके बराबर हैं। संस्करण 1.10.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को DrupalWiki एकीकरण के माध्यम से सर्वर पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। एक हमलावर, जो एक व्यवस्थापक को दुर्भावनापूर्ण DrupalWiki URL कॉन्फ़िगर करने के लिए राजी कर सकता है, कॉन्फ़िगरेशन फ़ाइलों को ओवरराइट करके या निष्पादन योग्य स्क्रिप्ट लिखकर RCE प्राप्त कर सकता है। इसका परिणाम सिस्टम पर पूर्ण नियंत्रण हो सकता है, जिसमें डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ शामिल हैं। यह भेद्यता विशेष रूप से उन वातावरणों में खतरनाक है जहां DrupalWiki का उपयोग किया जा रहा है और व्यवस्थापकों को URL कॉन्फ़िगर करने की अनुमति है।
यह भेद्यता 2026-01-27 को सार्वजनिक रूप से प्रकट की गई थी। वर्तमान में, सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को बढ़ाते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन इसकी उच्च गंभीरता को देखते हुए भविष्य में ऐसा होने की संभावना है।
Organizations using Drupal Core with the AnythingLLM application installed, particularly those with administrative users who may be susceptible to social engineering attacks or who may inadvertently configure malicious DrupalWiki URLs, are at risk. Shared hosting environments where multiple Drupal instances share the same server resources are also at increased risk.
• drupal: Check the installed version of the AnythingLLM module using drush pm:core-list or drush pm:modules.
• generic web: Monitor Drupal error logs for attempts to access files outside of the intended DrupalWiki directory.
• generic web: Use a WAF to block requests containing path traversal sequences (e.g., ../).
• linux / server: Monitor file system activity for unexpected file creations or modifications within the Drupal installation directory, particularly in areas related to configuration files. Use auditd to track file access attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.22% (44% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-24478 के लिए प्राथमिक शमन उपाय Drupal Core को संस्करण 1.10.0 में अपग्रेड करना है। यदि अपग्रेड तत्काल संभव नहीं है, तो DrupalWiki एकीकरण को अस्थायी रूप से अक्षम करने पर विचार करें। यदि यह संभव नहीं है, तो सुनिश्चित करें कि DrupalWiki URL को केवल विश्वसनीय स्रोतों से ही कॉन्फ़िगर किया गया है और इनपुट को ठीक से मान्य किया गया है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ ट्रैवर्सल हमलों को ब्लॉक करने के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
Actualice AnythingLLM a la versión 1.10.0 o posterior. Esta versión contiene la corrección para la vulnerabilidad de Path Traversal. Se recomienda realizar la actualización lo antes posible para evitar posibles ataques.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24478 Drupal Core में एक पथ ट्रैवर्सल भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है।
यदि आप Drupal Core के संस्करण 1.10.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Drupal Core को संस्करण 1.10.0 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो DrupalWiki एकीकरण को अस्थायी रूप से अक्षम करें।
सार्वजनिक रूप से उपलब्ध PoC मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को बढ़ाते हैं।
Drupal सुरक्षा सलाहकार यहां देखें: [https://www.drupal.org/security/advisories](https://www.drupal.org/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।