प्लेटफ़ॉर्म
python
घटक
pyload-ng
में ठीक किया गया
0.5.1
0.5.1
0.5.0b3.dev97
CVE-2026-29778 pyload-ng में एक पथ ट्रैवर्सल भेद्यता है। यह भेद्यता एक प्रमाणित उपयोगकर्ता को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है या सिस्टम पर अनपेक्षित क्रियाएं की जा सकती हैं। यह भेद्यता pyload-ng के संस्करणों 0.5.0b3.dev96 और उससे पहले को प्रभावित करती है। संस्करण 0.5.0b3.dev97 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावर को pyload-ng इंस्टॉलेशन के बाहर स्थित फ़ाइलों तक पहुँचने की अनुमति देती है। एक हमलावर pack_folder पैरामीटर में सावधानीपूर्वक तैयार किए गए पथ ट्रैवर्सल अनुक्रमों का उपयोग करके सुरक्षा उपायों को बायपास कर सकता है। उदाहरण के लिए, ..././..././..././tmp जैसे इनपुट को संसाधित करते समय, एकल-पास प्रतिस्थापन के बाद यह ../../../tmp बन जाता है, जिससे हमलावर /tmp निर्देशिका में फ़ाइलों को पढ़ने या लिखने में सक्षम हो जाता है। यह संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, क्रेडेंशियल्स या अन्य महत्वपूर्ण डेटा तक अनधिकृत पहुँच का कारण बन सकता है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA KEV सूची पर इसकी स्थिति अज्ञात है। NVD और CISA ने 2026-03-05 को इस भेद्यता को प्रकाशित किया। इस भेद्यता का सक्रिय शोषण अभी तक व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन इसकी गंभीरता और शोषण की सापेक्ष आसानी के कारण, भविष्य में शोषण के प्रयास होने की संभावना है।
Users running pyLoad-ng versions prior to 0.5.0b3.dev97 are at risk, particularly those hosting the application on publicly accessible servers or within shared hosting environments. Systems where pyLoad-ng is used to process user-supplied input for file management are also at higher risk.
• python / server:
import os
import re
def check_pack_folder(pack_folder):
if '..' in pack_folder:
# Check for recursive traversal attempts
if re.search(r'../+', pack_folder):
print("Potential directory traversal attempt detected!")
return False
return True
# Example usage (replace with actual input)
pack_folder = input("Enter pack_folder: ")
if check_pack_folder(pack_folder):
print("Pack folder is safe.")
else:
print("Pack folder is potentially unsafe.")disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-29778 को कम करने के लिए, pyload-ng को संस्करण 0.5.0b3.dev97 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी को कॉन्फ़िगर करें ताकि पथ ट्रैवर्सल पैटर्न वाले अनुरोधों को ब्लॉक किया जा सके। विशेष रूप से, ../ अनुक्रमों के साथ अनुरोधों की निगरानी करें और उन्हें अस्वीकार करें। इसके अतिरिक्त, pyload-ng के कॉन्फ़िगरेशन को सुरक्षित करें और सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं के पास MODIFY अनुमति है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, pack_folder पैरामीटर के साथ पथ ट्रैवर्सल प्रयासों को आज़माकर।
Actualice pyLoad a la versión 0.5.0b3.dev97 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal en la función edit_package().
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-29778 pyload-ng में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है। यह pack_folder पैरामीटर में अपर्याप्त सैनिटाइजेशन के कारण होता है।
यदि आप pyload-ng के संस्करण 0.5.0b3.dev96 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-29778 को ठीक करने के लिए, pyload-ng को संस्करण 0.5.0b3.dev97 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-29778 का सक्रिय शोषण अभी तक व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन भविष्य में शोषण के प्रयास होने की संभावना है।
आधिकारिक pyload-ng सलाहकार के लिए, कृपया pyload-ng परियोजना वेबसाइट या संबंधित सुरक्षा घोषणाओं की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।