प्लेटफ़ॉर्म
nodejs
घटक
fuxa-server
में ठीक किया गया
1.2.12
1.2.11
fuxa-server में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) की खोज की गई है, जो प्रमाणित हमलावरों को प्रशासनिक विशेषाधिकारों के साथ फ़ाइलों को लिखने की अनुमति देती है। यह भेद्यता सर्वर फ़ाइल सिस्टम में संवेदनशील निर्देशिकाओं को लक्षित कर सकती है, जिससे रिमोट कोड एग्जीक्यूशन (RCE) का खतरा उत्पन्न होता है। संस्करण 1.2.10 और उससे पहले के संस्करण प्रभावित हैं, और 1.2.11 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर फ़ाइल सिस्टम में मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं या दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। हमलावर '....//' जैसे नेस्टेड ट्रैवर्सल सीक्वेंस का उपयोग करके सुरक्षा उपायों को बायपास कर सकते हैं। यदि हमलावर 'runtime/scripts' जैसी निर्देशिकाओं में दुर्भावनापूर्ण स्क्रिप्ट लिखता है और सर्वर उन स्क्रिप्ट को फिर से लोड करता है, तो रिमोट कोड एग्जीक्यूशन (RCE) हो सकता है, जिससे सर्वर का पूर्ण नियंत्रण हमलावर के हाथ में आ सकता है। यह भेद्यता पिछले पथ पारगमन सुरक्षा उपायों को बायपास करने का एक नया तरीका है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, मध्यम संभावना (medium probability) है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (POC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि जल्द ही POC जारी किए जा सकते हैं। यह भेद्यता 2026-02-10 को प्रकाशित हुई थी।
Organizations relying on fuxa-server for critical services are at risk, particularly those with administrative interfaces exposed to the internet. Environments with legacy configurations or shared hosting setups where user privileges are not strictly controlled are especially vulnerable. Any deployment using older, unpatched versions of fuxa-server is potentially exposed.
• nodejs / server:
journalctl -u fuxa-server -f | grep -i "path traversal"• nodejs / server:
ps aux | grep fuxa-server | grep -i "....//"• generic web: Use curl to test for path traversal:
curl 'http://your-fuxa-server/path/....//sensitive_file.txt' • generic web: Grep access logs for requests containing suspicious path traversal sequences (e.g., '....//').
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (10% शतमक)
CISA SSVC
सबसे प्रभावी समाधान fuxa-server को संस्करण 1.2.11 में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियम लागू किए जा सकते हैं। फ़ाइल सिस्टम अनुमतियों को सख्त करना और केवल आवश्यक उपयोगकर्ताओं को ही संवेदनशील निर्देशिकाओं तक पहुंच देना भी जोखिम को कम कर सकता है। सर्वर कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और अनावश्यक फ़ंक्शन को अक्षम करना भी महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल सिस्टम एक्सेस को सत्यापित करें।
Actualice FUXA a la versión 1.2.11 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. La actualización evitará que atacantes con privilegios administrativos exploten esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-25951 fuxa-server में एक पथ पारगमन भेद्यता है जो हमलावरों को फ़ाइलें लिखने और रिमोट कोड एग्जीक्यूशन (RCE) करने की अनुमति देती है।
यदि आप fuxa-server के संस्करण 1.2.10 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
fuxa-server को संस्करण 1.2.11 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें और फ़ाइल सिस्टम अनुमतियों को सख्त करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसकी संभावना है।
आधिकारिक सलाहकार के लिए fuxa-server के दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।