प्लेटफ़ॉर्म
apache
घटक
erlang-otp
में ठीक किया गया
*
*
*
CVE-2026-28808 describes an Incorrect Authorization vulnerability affecting Erlang/OTP versions 17.0.0 and later. This flaw allows unauthenticated access to CGI scripts protected by directory rules when served via scriptalias. The vulnerability stems from a path mismatch between how modauth and mod_cgi handle access control, potentially leading to unauthorized script execution. A fix is available, and users are urged to upgrade.
CVE-2026-28808 Erlang OTP (inets मॉड्यूल) में, जब scriptalias के माध्यम से CGI स्क्रिप्ट प्रदान की जाती है, तो यह अनधिकृत पहुंच को निर्देशिका नियमों द्वारा संरक्षित CGI स्क्रिप्ट को सक्षम करने की भेद्यता है। यह modauth और modcgi द्वारा पथों का मूल्यांकन करने के तरीके में अंतर के कारण है। modauth DocumentRoot सापेक्ष पथ के विरुद्ध निर्देशिका-आधारित एक्सेस नियंत्रण का मूल्यांकन करता है, जबकि mod_cgi ScriptAlias द्वारा हल किए गए पथ पर स्क्रिप्ट निष्पादित करता है। यह पथ बेमेल अनधिकृत हमलावरों को CGI स्क्रिप्ट तक पहुंचने की अनुमति देता है जिन्हें निर्देशिका नियमों द्वारा संरक्षित किया जाना चाहिए था। संभावित प्रभाव में सर्वर पर मनमाना कोड निष्पादित करना, संवेदनशील जानकारी का खुलासा करना और डेटा में हेरफेर करना शामिल है, जो प्रभावित CGI स्क्रिप्ट की कार्यक्षमता पर निर्भर करता है। इस भेद्यता की गंभीरता उजागर किए गए CGI स्क्रिप्ट की महत्वपूर्णता और वे जिस डेटा को संसाधित करते हैं, उसकी संवेदनशीलता पर निर्भर करती है।
यह भेद्यता modauth और modcgi के बीच पथ मूल्यांकन में अंतर का लाभ उठाकर शोषण किया जाता है। एक हमलावर scriptalias को DocumentRoot के बाहर एक निर्देशिका की ओर इंगित करने के लिए कॉन्फ़िगर कर सकता है, और फिर आवश्यक क्रेडेंशियल प्रदान किए बिना उस निर्देशिका में CGI स्क्रिप्ट तक पहुंचने का प्रयास कर सकता है। चूँकि modcgi ScriptAlias द्वारा हल किए गए पथ का उपयोग करता है, DocumentRoot के सापेक्ष मूल्यांकन किया गया निर्देशिका-आधारित एक्सेस नियंत्रण बाईपास हो जाता है। शोषण के लिए वेब सर्वर तक नेटवर्क एक्सेस और script_alias कॉन्फ़िगरेशन का ज्ञान आवश्यक है। शोषण की जटिलता अपेक्षाकृत कम है, जो इसे एक महत्वपूर्ण जोखिम बनाती है।
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVE-2026-28808 के लिए प्राथमिक शमन उपाय Erlang OTP को एक ऐसे संस्करण में अपडेट करना है जिसमें फिक्स शामिल है। विशिष्ट अपग्रेड निर्देशों के लिए Erlang OTP रिलीज़ नोट्स देखें। एक अस्थायी समाधान के रूप में, प्रभावित CGI स्क्रिप्ट तक पहुंच को फ़ायरवॉल या एक्सेस कंट्रोल लिस्ट (ACL) के माध्यम से प्रतिबंधित करने पर विचार करें। इसके अतिरिक्त, स्क्रिप्ट_एलियास कॉन्फ़िगरेशन की सावधानीपूर्वक समीक्षा करें ताकि यह सुनिश्चित हो सके कि पथ सुरक्षित हैं और अनपेक्षित निर्देशिकाओं तक पहुंच की अनुमति नहीं देते हैं। सभी CGI स्क्रिप्ट के लिए मजबूत प्रमाणीकरण को लागू करना एक सामान्य सुरक्षा सर्वोत्तम अभ्यास है जो इस जोखिम को कम करने में भी मदद कर सकता है। सर्वर लॉग की निगरानी अनधिकृत पहुंच प्रयासों के लिए भी महत्वपूर्ण है।
Actualice Erlang/OTP a la versión 28.4.3 o superior para mitigar esta vulnerabilidad. La vulnerabilidad se debe a una discrepancia en la evaluación de la autorización entre mod_auth y mod_cgi, que permite el acceso no autenticado a scripts CGI. Asegúrese de aplicar la actualización en todos los entornos afectados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Erlang OTP उच्च उपलब्धता प्रणालियों में व्यापक रूप से उपयोग किए जाने वाले उच्च समवर्ती, वितरित अनुप्रयोगों के निर्माण के लिए एक मंच है।
script_alias वेब सर्वर (जैसे Apache) में एक कॉन्फ़िगरेशन निर्देश है जो फ़ाइल सिस्टम पर एक निर्देशिका में URL को मैप करता है।
यदि प्रभावित CGI स्क्रिप्ट संवेदनशील उपयोगकर्ता डेटा को संसाधित करती है, तो यह भेद्यता एक हमलावर को उस जानकारी तक पहुंचने की अनुमति दे सकती है।
एक अस्थायी उपाय के रूप में, आप फ़ायरवॉल या ACL के माध्यम से प्रभावित CGI स्क्रिप्ट तक पहुंच को प्रतिबंधित कर सकते हैं।
आप Erlang OTP रिलीज़ नोट्स और NVD (नेशनल भेद्यता डेटाबेस) जैसे भेद्यता डेटाबेस में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।