टालिशर: गेमनेम पैरामीटर में क्रिटिकल पाथ ट्रावर्सल

यह भेद्यता हमलावरों को Talishar एप्लिकेशन के फ़ाइल सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। ParseGamestate.php घटक को सीधे एक्सेस करने की क्षमता, आंतरिक सैनिटाइजेशन की अनुपस्थिति के कारण, हमलावरों को पथ पारगमन अनुक्रमों (जैसे ../) का उपयोग करके संवेदनशील फ़ाइलों को पढ़ने या संशोधित करने की अनुमति देती है। यह डेटा उल्लंघनों, सिस्टम समझौता और संभावित रूप से एप्लिकेशन की अखंडता से समझौता करने का कारण बन सकता है। चूंकि Talishar एक फैन-मेड प्रोजेक्ट है, इसलिए इसका व्यापक उपयोग अज्ञात है, लेकिन यदि इसका उपयोग महत्वपूर्ण डेटा संग्रहीत करने या संवेदनशील कार्यों को करने के लिए किया जाता है, तो प्रभाव महत्वपूर्ण हो सकता है।

This vulnerability primarily affects users who are running vulnerable versions of Talishar, particularly those who have exposed the ParseGamestate.php script directly to the internet. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.

• php: Examine web server access logs for requests containing directory traversal sequences (e.g., ../). • php: Search for the ParseGamestate.php file in the webroot and verify that it is not directly accessible. • generic web: Use curl to test for directory traversal:

curl 'http://your-talishar-server/ParseGamestate.php?gameName=../../../../etc/passwd'

• generic web: Monitor file integrity for critical system files to detect unauthorized modifications.

1. 2026-03-06Disclosure

   disclosure

1. आरक्षित2026-02-27
2. प्रकाशित2026-03-06
3. संशोधित2026-03-09
4. EPSS अद्यतन2026-03-23

CVE-2026-28429 को कम करने के लिए, संस्करण 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 या बाद के संस्करण में Talishar को तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो ParseGamestate.php घटक तक बाहरी पहुंच को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। WAF नियमों को पथ पारगमन हमलों का पता लगाने और ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, सुनिश्चित करें कि सभी इनपुट को ठीक से मान्य और सैनिटाइज किया गया है, खासकर गेमName पैरामीटर। एप्लिकेशन के लिए एक मजबूत फ़ाइल एक्सेस नियंत्रण नीति लागू करें। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, ParseGamestate.php घटक को सीधे एक्सेस करने का प्रयास करके और पथ पारगमन अनुक्रमों का उपयोग करके फ़ाइलें एक्सेस करने का प्रयास करके।