प्लेटफ़ॉर्म
nodejs
घटक
chartbrew
में ठीक किया गया
4.8.6
Chartbrew एक ओपन-सोर्स वेब एप्लिकेशन है जो डेटाबेस और एपीआई से कनेक्ट करके चार्ट बनाने की अनुमति देता है। संस्करण 4.8.5 से पहले, प्रमाणित उपयोगकर्ता मनमाने URL के साथ एपीआई डेटा कनेक्शन बना सकते थे, जिससे सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) हमले हो सकते थे। यह भेद्यता आंतरिक नेटवर्क और क्लाउड मेटाडेटा एंडपॉइंट्स के खिलाफ शोषण की अनुमति देती है। संस्करण 4.8.5 में इस समस्या का समाधान किया गया है।
Chartbrew में CVE-2026-30232 भेद्यता प्रमाणित उपयोगकर्ताओं को किसी भी URL के साथ API डेटा कनेक्शन बनाने की अनुमति देती है। इन URL को request-promise का उपयोग करके प्राप्त करते समय IP पते की जाँच की कमी के कारण, एक हमलावर आंतरिक नेटवर्क और क्लाउड मेटाडेटा एंडपॉइंट के खिलाफ सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) हमले कर सकता है। संभावित प्रभाव में संवेदनशील जानकारी का खुलासा, आंतरिक डेटा में हेरफेर, या प्रमाणित उपयोगकर्ता के विशेषाधिकार और नेटवर्क कॉन्फ़िगरेशन के आधार पर आंतरिक सिस्टम पर कोड निष्पादन शामिल है। इस भेद्यता की गंभीरता इसकी नेटवर्क सुरक्षा को बायपास करने और संरक्षित संसाधनों तक पहुँचने की क्षमता में निहित है।
Chartbrew में प्रमाणित हमलावर एक डेटा कनेक्शन API बनाकर इस भेद्यता का फायदा उठा सकता है जो एक आंतरिक URL या क्लाउड मेटाडेटा एंडपॉइंट की ओर इशारा करता है। यह URL से डेटा प्राप्त करने का प्रयास करते हुए Chartbrew सर्वर, हमलावर की ओर से अनुरोध करेगा। यदि सर्वर के पास आंतरिक संसाधनों तक पहुँच है, तो हमलावर इस तकनीक का उपयोग संवेदनशील डेटा पढ़ने, कॉन्फ़िगरेशन बदलने या आंतरिक सिस्टम पर कमांड निष्पादित करने के लिए कर सकता है। IP पते की जाँच की कमी के कारण, हमलावर के लिए नेटवर्क सुरक्षा को बायपास करना और संरक्षित संसाधनों तक पहुँच प्राप्त करना आसान हो जाता है। शोषण की जटिलता अपेक्षाकृत कम है, जिसमें Chartbrew एप्लिकेशन तक प्रमाणित पहुँच की आवश्यकता होती है।
Organizations using Chartbrew to visualize data from internal databases or APIs are at risk, particularly those with weak authentication controls or inadequate network segmentation. Shared hosting environments where multiple users share a Chartbrew instance are also at increased risk, as a compromised user account could be used to exploit the SSRF vulnerability.
• nodejs / server:
grep -r 'request-promise' /opt/chartbrew/node_modules/• generic web:
curl -I http://your-chartbrew-server/api/data_connections | grep -i 'Server:'• generic web:
Check Chartbrew access logs for requests to unusual internal IP addresses or cloud metadata endpoints (e.g., 169.254.169.254).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVE-2026-30232 के लिए समाधान Chartbrew को संस्करण 4.8.5 या उच्चतर में अपग्रेड करना है। इस संस्करण में IP पते की जाँच शामिल है जो हमलावरों को किसी भी URL पर अनुरोध भेजने से रोकती है। इस बीच, एक अस्थायी शमन उपाय के रूप में, Chartbrew तक पहुँच को केवल विश्वसनीय उपयोगकर्ताओं तक सीमित करें और उनके विशेषाधिकारों को सीमित करें। इसके अतिरिक्त, Chartbrew सर्वर से अनधिकृत आउटबाउंड ट्रैफ़िक को ब्लॉक करने के लिए फ़ायरवॉल नीतियों की समीक्षा और मजबूत करें। पैचिंग इस भेद्यता के खिलाफ सबसे अच्छा बचाव है, और भविष्य के खतरों से अपने सिस्टम की सुरक्षा के लिए नियमित सुरक्षा अपडेट की सिफारिश की जाती है।
Actualice a la versión 4.8.5 o posterior para mitigar la vulnerabilidad de Server-Side Request Forgery (SSRF). Esta versión implementa la validación de direcciones IP para las URLs proporcionadas por el usuario en las conexiones de datos de la API, previniendo así el acceso no autorizado a recursos internos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) एक हमला है जिसमें एक हमलावर सर्वर को उन संसाधनों के लिए अनुरोध करने के लिए छल करता है जिन्हें हमलावर सामान्य रूप से एक्सेस नहीं कर पाएगा।
हाँ, इस भेद्यता को कम करने के लिए संस्करण 4.8.5 या उच्चतर में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है।
एक अस्थायी उपाय के रूप में, Chartbrew तक पहुँच को सीमित करें और अपनी फ़ायरवॉल नीतियों की समीक्षा करें।
हाँ, संस्करण 4.8.5 से पहले के सभी Chartbrew इंस्टॉलेशन में भेद्यता है।
हाँ, फ़ायरवॉल नीतियों की समीक्षा और मजबूत करें, उपयोगकर्ता विशेषाधिकारों को सीमित करें और नियमित रूप से सुरक्षा पैच लागू करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।