प्लेटफ़ॉर्म
windows
घटक
sonarr
में ठीक किया गया
4.0.1
CVE-2026-30976 Sonarr में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को Sonarr प्रक्रिया द्वारा पढ़ी जा सकने वाली किसी भी फ़ाइल को पढ़ने की अनुमति देती है, जिससे संवेदनशील जानकारी उजागर हो सकती है। यह भेद्यता Sonarr के 4.0 से लेकर 4.0.17.2950 तक के संस्करणों को प्रभावित करती है। इस समस्या को 4.0.17.2950 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों के लिए Sonarr सर्वर पर महत्वपूर्ण डेटा तक पहुंचने का एक सीधा मार्ग प्रदान करती है। हमलावर Sonarr के कॉन्फ़िगरेशन फ़ाइलों को पढ़ सकते हैं, जिसमें API कुंजियाँ और डेटाबेस क्रेडेंशियल्स शामिल हैं। इन क्रेडेंशियल्स का उपयोग अन्य प्रणालियों में आगे बढ़ने या डेटा को संशोधित करने के लिए किया जा सकता है। चूंकि यह भेद्यता Windows सिस्टम पर ही लागू होती है, इसलिए Sonarr को Windows सर्वर पर चलाने वाले संगठन विशेष रूप से जोखिम में हैं। यह भेद्यता, यदि सफलतापूर्वक शोषण किया जाता है, तो डेटा उल्लंघन, सिस्टम समझौता और संभावित रूप से सेवा से इनकार का कारण बन सकती है।
CVE-2026-30976 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि जल्द ही PoC जारी किए जाएंगे। यह भेद्यता 2026-03-25 को प्रकाशित हुई थी।
Organizations running Sonarr on Windows systems, particularly those with exposed APIs or weak network security, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit this vulnerability to access data belonging to other users.
• windows / supply-chain:
Get-Process -Name Sonarr | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*Sonarr*'}• windows / supply-chain:
reg query "HKLM\Software\Sonarr" /v APIKey• generic web:
curl -I http://sonarr.example.com/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-30976 को कम करने के लिए, Sonarr को तुरंत संस्करण 4.0.17.2950 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपग्रेड संभव नहीं है, तो Sonarr प्रक्रिया के लिए फ़ाइल अनुमतियों को सीमित करने पर विचार करें ताकि यह केवल आवश्यक फ़ाइलों तक ही पहुंच सके। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने का प्रयास किया जा सकता है, लेकिन यह एक पूर्ण समाधान नहीं है। Sonarr को एक अलग, सुरक्षित स्थान पर स्थापित करना भी एक निवारक उपाय हो सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, API के माध्यम से फ़ाइलें एक्सेस करने का प्रयास करके सत्यापित करें।
Actualice Sonarr a la versión 4.0.17.2950 o superior. Como alternativa, asegúrese de que Sonarr solo sea accesible desde una red interna segura y acceda a él a través de VPN, Tailscale o una solución similar fuera de esa red.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-30976 Sonarr में एक भेद्यता है जो हमलावरों को Sonarr प्रक्रिया द्वारा पढ़ी जा सकने वाली किसी भी फ़ाइल को पढ़ने की अनुमति देती है, जिससे संवेदनशील डेटा उजागर हो सकता है।
यदि आप Sonarr के संस्करण 4.0 से 4.0.17.2950 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-30976 को ठीक करने के लिए, Sonarr को संस्करण 4.0.17.2950 या बाद के संस्करण में अपडेट करें।
CVE-2026-30976 के सक्रिय शोषण के बारे में कोई सार्वजनिक जानकारी नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि जल्द ही शोषण सामने आएंगे।
Sonarr आधिकारिक सलाहकार Sonarr वेबसाइट पर उपलब्ध है: [https://github.com/Sonarr/Sonarr/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/Sonarr/Sonarr/security/advisories/GHSA-xxxx-xxxx-xxxx)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।