प्लेटफ़ॉर्म
go
घटक
github.com/treeverse/lakefs
में ठीक किया गया
1.77.1
1.77.0
CVE-2026-26187 lakeFS में एक गंभीर पाथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को lakeFS इंस्टेंस के भीतर अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, जिससे संभावित रूप से डेटा का समझौता हो सकता है। यह भेद्यता lakeFS के 1.77.0 से पहले के संस्करणों को प्रभावित करती है। 1.77.0 संस्करण में इस समस्या का समाधान किया गया है।
यह पाथ ट्रैवर्सल भेद्यता lakeFS उपयोगकर्ताओं के लिए महत्वपूर्ण जोखिम पैदा करती है। एक हमलावर इस भेद्यता का फायदा उठाकर lakeFS इंस्टेंस के भीतर फ़ाइलों और निर्देशिकाओं तक अनधिकृत पहुंच प्राप्त कर सकता है, भले ही उनके पास सामान्य रूप से ऐसा करने की अनुमति न हो। इसका मतलब है कि हमलावर संवेदनशील डेटा तक पहुंच सकते हैं, डेटा को संशोधित कर सकते हैं या हटा सकते हैं, और यहां तक कि सिस्टम पर नियंत्रण भी प्राप्त कर सकते हैं। क्रॉस-नेमस्पेस एक्सेस का मतलब है कि एक हमलावर एक lakeFS नेमस्पेस से दूसरे में डेटा तक पहुंच सकता है, जिससे संभावित रूप से कई उपयोगकर्ताओं और अनुप्रयोगों को खतरा हो सकता है। भाई-बहन निर्देशिका एक्सेस हमलावरों को उन फ़ाइलों तक पहुंचने की अनुमति देता है जो वे सामान्य रूप से एक्सेस नहीं कर पाएंगे, जिससे डेटा का समझौता हो सकता है।
CVE-2026-26187 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और संभावित प्रभाव के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता KEV (Know Exploited Vulnerability) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, उनका जल्द ही उभरना संभव है।
Organizations using lakeFS for data lake management, particularly those with multi-tenant deployments or shared namespaces, are at increased risk. Legacy lakeFS configurations with relaxed access controls are also more vulnerable. Teams relying on lakeFS for sensitive data storage should prioritize patching.
• go / application: Inspect lakeFS configuration files for unusual path entries. Monitor lakeFS logs for suspicious file access attempts, particularly those involving .. sequences.
find /opt/lakefs/ -path "*/..*" -print• generic web: Monitor access logs for requests containing path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check response headers for unexpected file disclosures.
• generic web: Use curl to probe for directory traversal:
curl -v 'http://your-lakefs-instance/../../../../etc/passwd' 2>&1 | grep 'HTTP/1.1 200 OK'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-26187 के प्रभाव को कम करने के लिए, lakeFS के नवीनतम संस्करण (1.77.0 या बाद का) में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, lakeFS इंस्टेंस के लिए एक्सेस नियंत्रण को कड़ा करना और फ़ाइल सिस्टम अनुमतियों को सीमित करना संभव है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके lakeFS इंस्टेंस के लिए इनबाउंड ट्रैफ़िक को फ़िल्टर करना भेद्यता के शोषण के जोखिम को कम करने में मदद कर सकता है। lakeFS के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और किसी भी असामान्य गतिविधि की निगरानी करना भी महत्वपूर्ण है।
Actualice lakeFS a la versión 1.77.0 o superior. Esta versión corrige la vulnerabilidad de path traversal en el adaptador de bloques local, impidiendo el acceso no autorizado a archivos fuera de los límites de almacenamiento designados. La actualización asegura que las rutas solicitadas se validen correctamente y que los identificadores de objetos permanezcan dentro de sus namespaces designados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26187 lakeFS में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइल एक्सेस की अनुमति देती है। यह 1.77.0 से पहले के संस्करणों को प्रभावित करता है।
यदि आप lakeFS के 1.77.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं। नवीनतम संस्करण में अपग्रेड करें।
lakeFS के 1.77.0 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक्सेस नियंत्रण को कड़ा करें।
CVE-2026-26187 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए एक संभावित लक्ष्य है।
कृपया lakeFS की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।