प्लेटफ़ॉर्म
go
घटक
chainguard.dev/melange
में ठीक किया गया
0.11.4
0.40.3
chainguard.dev/melange में एक फ़ाइल राइटिंग भेद्यता पाई गई है, जहाँ हमलावर कार्यक्षेत्र निर्देशिका के बाहर फ़ाइलें लिख सकता है। यह भेद्यता सिस्टम की सुरक्षा को खतरे में डाल सकती है और अनधिकृत पहुंच का कारण बन सकती है। प्रभावित संस्करण 0.40.3 से पहले के सभी संस्करण हैं। इस समस्या को 0.40.3 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों को लिखने की अनुमति देती है, जो सिस्टम पर गंभीर प्रभाव डाल सकती है। हमलावर महत्वपूर्ण सिस्टम फ़ाइलों को संशोधित कर सकता है, मैलवेयर स्थापित कर सकता है, या संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है। कार्यक्षेत्र निर्देशिका के बाहर फ़ाइलें लिखने की क्षमता के कारण, हमलावर अन्य अनुप्रयोगों या सेवाओं को भी प्रभावित कर सकता है जो समान फ़ाइल सिस्टम संसाधनों का उपयोग करते हैं। यह भेद्यता chainguard.dev/melange के उपयोग पर निर्भर अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम पैदा करती है, खासकर उन वातावरणों में जहां सुरक्षा महत्वपूर्ण है।
यह भेद्यता अभी तक KEV (CISA Known Exploited Vulnerabilities) में शामिल नहीं की गई है। EPSS (Exploit Prediction Score System) का मूल्यांकन अभी तक नहीं किया गया है। सार्वजनिक रूप से उपलब्ध कोई प्रूफ-ऑफ-कॉन्सेप्ट (PoC) नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह CVE 2026-02-05 को प्रकाशित किया गया था।
Organizations utilizing Chainguard Melange for container image building or other QEMU-based workflows are at risk. This includes DevOps teams, CI/CD pipelines, and environments where Melange is integrated into automated build processes. Specifically, those relying on older versions of Melange (prior to 0.40.3) are vulnerable.
• go / supply-chain: Inspect Melange's source code for file path manipulation functions. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
// Example: Check for direct path concatenation
if strings.Contains(filepath.Clean(userInput), "../") {
// Potential vulnerability
}• generic web: Monitor access logs for unusual file creation attempts outside the expected workspace directory. Look for patterns indicative of path traversal attacks.
# Example: grep for path traversal attempts in access logs
grep "../" /var/log/nginx/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, chainguard.dev/melange को तुरंत 0.40.3 संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करके और कार्यक्षेत्र निर्देशिका के बाहर फ़ाइलों को लिखने से रोकने के लिए WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को लागू करके अस्थायी शमन उपाय किए जा सकते हैं। इसके अतिरिक्त, फ़ाइल राइटिंग गतिविधियों की निगरानी के लिए सिस्टम लॉग की नियमित रूप से समीक्षा करें और किसी भी संदिग्ध गतिविधि की जांच करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल राइटिंग परीक्षण करें।
Actualice melange a la versión 0.40.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio de trabajo. La actualización evitará que atacantes influyan en el flujo de datos de la máquina virtual QEMU y comprometan el sistema host.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24843 chainguard.dev/melange में एक भेद्यता है जो हमलावरों को कार्यक्षेत्र निर्देशिका के बाहर फ़ाइलें लिखने की अनुमति देती है, जिससे सिस्टम समझौता हो सकता है।
यदि आप chainguard.dev/melange के 0.40.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
chainguard.dev/melange को 0.40.3 संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए chainguard.dev वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।