प्लेटफ़ॉर्म
nodejs
घटक
liquidjs
में ठीक किया गया
10.25.1
10.25.0
CVE-2026-30952 liquidjs में एक पथ पारगमन भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता तब उत्पन्न होती है जब liquidjs require.resolve() को फ़ॉलबैक के रूप में अनुमति देता है, लेकिन यह उन निर्देशिकाओं को सीमित नहीं करता है जिन्हें यह हल कर सकता है। संस्करण 10.25.0 से पहले के संस्करण प्रभावित हैं, और इस समस्या को [#855](https://github.com/harttle/liquidjs/pull/855) के माध्यम से ठीक किया गया है।
यह भेद्यता liquidjs का उपयोग करने वाले अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। एक हमलावर layout, render, और include टैग के माध्यम से मनमाने ढंग से फ़ाइलों तक पहुँच सकता है, खासकर यदि वे टेम्पलेट सामग्री को नियंत्रित करने या शामिल करने के लिए फ़ाइल पथ को एक Liquid वेरिएबल के रूप में निर्दिष्ट करने में सक्षम हैं। dynamicPartials: true की डिफ़ॉल्ट सेटिंग के साथ, यह भेद्यता आसानी से शोषण योग्य हो सकती है। सफल शोषण से संवेदनशील डेटा का प्रकटीकरण, सिस्टम समझौता, या यहां तक कि मनमाना कोड निष्पादन हो सकता है, जो एप्लिकेशन की सुरक्षा को गंभीर रूप से खतरे में डालता है।
CVE-2026-30952 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताओं की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य हो सकता है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2026-03-10 को प्रकाशित हुई थी।
Applications built on Node.js that utilize liquidjs for templating, particularly those with default configurations enabling dynamicPartials: true or allowing user-controlled template content, are at risk. Shared hosting environments where multiple applications share the same server and file system are also particularly vulnerable, as a compromise in one application could potentially lead to access to files belonging to others.
• nodejs / server:
ps aux | grep liquidjs
find / -name "liquidjs" -type d 2>/dev/null• generic web:
curl -I 'http://your-application.com/templates/include?file=../../../../etc/passwd' # Attempt to access sensitive files
grep -r 'require.resolve' /path/to/your/application/node_modules/liquidjs/disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVE-2026-30952 के लिए प्राथमिक शमन कदम liquidjs को संस्करण 10.25.0 या बाद के संस्करण में अपग्रेड करना है, जिसमें भेद्यता को ठीक किया गया है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी उपाय के रूप में, आप liquidjs के उपयोग को सीमित करने के लिए इनपुट सत्यापन लागू कर सकते हैं, यह सुनिश्चित करते हुए कि टेम्पलेट सामग्री और फ़ाइल पथ सुरक्षित हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को भी लागू किया जा सकता है ताकि पथ पारगमन प्रयासों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। इसके अतिरिक्त, liquidjs टेम्पलेट फ़ाइलों के लिए सख्त पहुंच नियंत्रण लागू करें ताकि अनधिकृत पहुंच को रोका जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करते हुए कि कोई भी हमलावर फ़ाइलों तक मनमाने ढंग से पहुँच प्राप्त नहीं कर सकता है।
Actualice la versión de liquidjs a la 10.25.0 o superior. Esto corrige la vulnerabilidad de path traversal que permite el acceso a archivos arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-30952 liquidjs में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता तब उत्पन्न होती है जब liquidjs require.resolve() को फ़ॉलबैक के रूप में अनुमति देता है, लेकिन यह उन निर्देशिकाओं को सीमित नहीं करता है जिन्हें यह हल कर सकता है।
यदि आप liquidjs के संस्करण 10.25.0 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं। तुरंत संस्करण 10.25.0 में अपग्रेड करें।
CVE-2026-30952 को ठीक करने का सबसे अच्छा तरीका liquidjs को संस्करण 10.25.0 या बाद के संस्करण में अपग्रेड करना है।
CVE-2026-30952 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताओं की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आप liquidjs GitHub रिपॉजिटरी में आधिकारिक सलाहकार पा सकते हैं: https://github.com/harttle/liquidjs/pull/855
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।