OpenViking .ovpack आयात ZIP पथ पारगमन (Path Traversal)

यह भेद्यता हमलावरों को दुर्भावनापूर्ण ZIP अभिलेखागार बनाकर, जिसमें सदस्य नामों में पारगमन अनुक्रम, पूर्ण पथ या ड्राइव उपसर्ग शामिल हैं, आयात प्रक्रिया के विशेषाधिकारों के साथ मनमाने ढंग से फ़ाइलों को ओवरराइट या बनाने की अनुमति देती है। एक सफल शोषण सिस्टम पर महत्वपूर्ण प्रभाव डाल सकता है, जिससे संवेदनशील डेटा का समझौता, सिस्टम का नियंत्रण या सेवा से इनकार हो सकता है। हमलावर महत्वपूर्ण सिस्टम फ़ाइलों को संशोधित कर सकते हैं, दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं या अन्य संवेदनशील कार्यों को कर सकते हैं।

Organizations and individuals utilizing OpenViking for package management or deployment are at risk. This includes environments where .ovpack files are imported from untrusted sources or where the OpenViking process runs with elevated privileges. Shared hosting environments where multiple users share the same OpenViking instance are particularly vulnerable.

1. 2026-03-03Disclosure

   disclosure

1. आरक्षित2026-02-27
2. प्रकाशित2026-03-03
3. संशोधित2026-03-31
4. EPSS अद्यतन2026-03-23

सबसे प्रभावी शमन उपाय OpenViking को कमिट 46b3e76 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो .ovpack फ़ाइलों के आयात को अक्षम करने पर विचार करें। यदि यह संभव नहीं है, तो फ़ाइल आयात प्रक्रिया के लिए इनपुट सत्यापन लागू करें ताकि यह सुनिश्चित किया जा सके कि सदस्य नाम पारगमन अनुक्रम या पूर्ण पथ शामिल नहीं हैं। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को कम किया जा सकता है, लेकिन यह एक पूर्ण समाधान नहीं है।