प्लेटफ़ॉर्म
rust
घटक
trusttunnel
में ठीक किया गया
0.9.115
CVE-2026-24902 TrustTunnel में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है, जिससे संभावित रूप से डेटा का समझौता या सिस्टम पर नियंत्रण हो सकता है। यह भेद्यता TrustTunnel के संस्करणों में मौजूद है जो 0.9.114 से पहले हैं। संस्करण 0.9.114 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता TrustTunnel सर्वर को आंतरिक नेटवर्क सेवाओं तक पहुँचने की अनुमति देती है, भले ही निजी नेटवर्क कनेक्शन प्रतिबंधित हों। एक हमलावर एक संख्यात्मक IP पते का उपयोग करके लूपबैक या निजी लक्ष्यों तक पहुँच सकता है, जिससे आंतरिक डेटा का खुलासा हो सकता है या अन्य आंतरिक प्रणालियों पर हमला किया जा सकता है। इस भेद्यता का उपयोग आंतरिक सेवाओं को स्कैन करने, संवेदनशील जानकारी निकालने या अन्य आंतरिक प्रणालियों के लिए एक लॉन्चिंग पैड के रूप में करने के लिए किया जा सकता है। यह भेद्यता TrustTunnel के उपयोग पर निर्भर आंतरिक अनुप्रयोगों और सेवाओं की सुरक्षा को खतरे में डालती है।
CVE-2026-24902 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी गंभीरता उच्च है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो इस भेद्यता का शोषण करना आसान बनाते हैं। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है। यह भेद्यता 2026-01-29 को प्रकाशित हुई थी।
Organizations using TrustTunnel as their VPN solution, particularly those with sensitive internal resources accessible via the VPN, are at risk. Environments with legacy TrustTunnel deployments or those that have not implemented robust network segmentation are especially vulnerable.
• rust / server:
# Check for TrustTunnel version
rustc --version• rust / server:
# Inspect tcp_forwarder.rs for incomplete SSRF protection
grep -r 'TcpDestination::Address(peer) => peer' ./src/tcp_forwarder.rs• generic web:
# Check for outbound connections to internal IPs via curl
curl -v <TrustTunnel_Endpoint> | grep -i '127.0.0.1' disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-24902 के लिए प्राथमिक शमन उपाय TrustTunnel को संस्करण 0.9.114 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों को कॉन्फ़िगर करके या प्रॉक्सी का उपयोग करके TrustTunnel सर्वर से आंतरिक नेटवर्क संसाधनों तक पहुँच को सीमित करने पर विचार करें। यह सुनिश्चित करें कि TrustTunnel सर्वर को सार्वजनिक नेटवर्क से उजागर नहीं किया गया है। TrustTunnel के नवीनतम संस्करण में सुरक्षा पैच की पुष्टि करने के लिए TrustTunnel के आधिकारिक दस्तावेज़ों की समीक्षा करें। अपग्रेड के बाद, यह सत्यापित करें कि SSRF भेद्यता का समाधान हो गया है, आंतरिक सेवाओं तक अनधिकृत पहुँच के प्रयासों की निगरानी करें।
TrustTunnel को संस्करण 0.9.114 या उच्चतर में अपडेट करें। यह संस्करण SSRF भेद्यता और निजी नेटवर्क प्रतिबंध बाईपास को ठीक करता है। अपडेट Rust पैकेज मैनेजर, Cargo के माध्यम से किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24902 TrustTunnel में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप TrustTunnel के संस्करण 0.9.114 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
TrustTunnel को संस्करण 0.9.114 या बाद के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो फ़ायरवॉल नियमों को कॉन्फ़िगर करके आंतरिक नेटवर्क संसाधनों तक पहुँच को सीमित करें।
CVE-2026-24902 का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
TrustTunnel के आधिकारिक दस्तावेज़ों की समीक्षा करें या TrustTunnel सुरक्षा टीम से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Cargo.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।