प्लेटफ़ॉर्म
other
घटक
calibre
में ठीक किया गया
9.2.1
calibre एक ई-बुक प्रबंधक है। संस्करण 9.2.0 से पहले, calibre के CHM रीडर में एक पथ पारगमन भेद्यता मौजूद है। यह भेद्यता हमलावर को उपयोगकर्ता के पास लिखने की अनुमति वाले किसी भी स्थान पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। विंडोज पर, यह अगले लॉगिन पर स्टार्टअप फ़ोल्डर में एक पेलोड लिखकर रिमोट कोड निष्पादन (RCE) का कारण बन सकता है। यह भेद्यता संस्करण 9.2.0 में ठीक की गई है।
इस पथ पारगमन भेद्यता का फायदा उठाकर, एक हमलावर calibre के CHM रीडर के माध्यम से मनमाने ढंग से फ़ाइलें लिख सकता है। विंडोज वातावरण में, इसका उपयोग स्टार्टअप फ़ोल्डर में एक दुर्भावनापूर्ण निष्पादन योग्य को लिखकर किया जा सकता है, जिससे प्रत्येक लॉगिन पर स्वचालित रूप से दुर्भावनापूर्ण कोड निष्पादित हो सकता है। यह रिमोट कोड निष्पादन (RCE) की ओर ले जाता है, जिससे हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकता है। अन्य ऑपरेटिंग सिस्टम पर, भेद्यता का फायदा अलग-अलग हो सकता है, लेकिन अभी भी संवेदनशील डेटा तक अनधिकृत पहुंच या सिस्टम के साथ छेड़छाड़ की अनुमति दे सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को पहले calibre के CHM रीडर तक पहुंच प्राप्त करने की आवश्यकता होगी।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA या अन्य सुरक्षा संगठनों द्वारा इस भेद्यता को KEV (Known Exploited Vulnerabilities) सूची में जोड़ा गया है या नहीं, इसकी पुष्टि की जानी चाहिए। भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, सक्रिय शोषण की संभावना को मध्यम से उच्च माना जाना चाहिए।
Users of Calibre e-book manager, particularly those on Windows systems, are at risk. Shared hosting environments where Calibre is installed and accessible to multiple users are especially vulnerable, as an attacker could potentially compromise the entire host.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Action.Path -like "*Calibre*"}• windows / supply-chain:
Get-ChildItem -Path "$env:AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" -Filter "*Calibre*.*"• other: Monitor Calibre installation directory for unexpected file creations, especially executable files.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (24% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-25635 को कम करने के लिए, calibre को संस्करण 9.2.0 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, CHM फ़ाइलों को संसाधित करने के लिए calibre के उपयोग को सीमित करें, खासकर अविश्वसनीय स्रोतों से। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके मनमाना फ़ाइल लेखन प्रयासों को ब्लॉक करने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। यह सुनिश्चित करें कि calibre इंस्टॉलेशन के लिए उपयोगकर्ता खाते के पास न्यूनतम आवश्यक विशेषाधिकार हों, जिससे संभावित शोषण का दायरा सीमित हो सके।
Actualice Calibre a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos. La actualización se puede realizar a través del gestor de paquetes o descargando la nueva versión desde el sitio web oficial.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-25635 calibre के CHM रीडर में एक पथ पारगमन भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से रिमोट कोड निष्पादन हो सकता है।
यदि आप calibre के संस्करण 9.2.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-25635 को ठीक करने के लिए, calibre को संस्करण 9.2.0 या बाद के संस्करण में अपग्रेड करें।
भेद्यता सार्वजनिक रूप से ज्ञात है और शोषण की संभावना मध्यम से उच्च है।
आप calibre वेबसाइट पर आधिकारिक एडवाइजरी पा सकते हैं: [https://calibre-ebook.com/](https://calibre-ebook.com/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।