प्लेटफ़ॉर्म
python
घटक
magic-wormhole
में ठीक किया गया
0.21.1
0.23.0
magic-wormhole में एक भेद्यता पाई गई है, जहाँ एक दुर्भावनापूर्ण पार्टी द्वारा फ़ाइल भेजने पर महत्वपूर्ण स्थानीय फ़ाइलें ओवरराइट की जा सकती हैं। इससे रिसीवर के कंप्यूटर पर समझौता हो सकता है। यह भेद्यता magic-wormhole के संस्करण 0.22.0 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को magic-wormhole 0.23.0 में ठीक कर दिया गया है।
यह भेद्यता हमलावर को रिसीवर के सिस्टम पर महत्वपूर्ण फ़ाइलों को ओवरराइट करने की अनुमति देती है। विशेष रूप से, ~/.ssh/authorized_keys फ़ाइल को ओवरराइट करने से हमलावर SSH के माध्यम से सिस्टम तक अनधिकृत पहुंच प्राप्त कर सकता है। .bashrc फ़ाइल को ओवरराइट करने से हमलावर उपयोगकर्ता के शेल वातावरण को संशोधित कर सकता है, जिससे सिस्टम के व्यवहार को नियंत्रित किया जा सकता है। यह भेद्यता केवल फ़ाइल भेजने वाले (sender) द्वारा ही शोषण की जा सकती है, न कि ट्रांजिट/रिले सर्वर द्वारा।
यह भेद्यता सार्वजनिक रूप से 2026-03-13 को घोषित की गई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (POC) नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं है।
Users who rely on magic-wormhole for secure file transfer, particularly those using it to transfer sensitive data or manage SSH keys, are at risk. Systems with legacy configurations or those running older versions of Python where upgrading is difficult are also more vulnerable. Shared hosting environments where multiple users share the same system and SSH keys could experience widespread compromise if exploited.
• python / system:
python3 -c 'import magic_wormhole; print(magic_wormhole.__version__)'• python / system: Check for unusual file modifications in ~/.ssh/authorized_keys and .bashrc using git diff or similar version control tools.
• python / system: Monitor process execution for magic_wormhole with unusual command-line arguments.
• python / system: Review system logs for errors or warnings related to file overwrites during wormhole receive operations.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (25% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, magic-wormhole को संस्करण 0.23.0 या उससे ऊपर के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइलों को प्राप्त करते समय अतिरिक्त सावधानी बरतें, खासकर उन स्रोतों से जिनसे आप परिचित नहीं हैं। फ़ाइल प्राप्त करने से पहले, फ़ाइल के नाम और सामग्री की जांच करें। फ़ाइल प्राप्त करने के बाद, तुरंत अपनी महत्वपूर्ण फ़ाइलों का बैकअप लें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, wormhole receive कमांड का उपयोग करके एक परीक्षण फ़ाइल प्राप्त करें और देखें कि क्या कोई अनपेक्षित फ़ाइल ओवरराइटिंग होती है।
Actualice Magic Wormhole a la versión 0.23.0 o superior. Esto solucionará la vulnerabilidad que permite la sobrescritura de archivos locales arbitrarios por parte de un remitente malicioso. Puede actualizar usando pip: `pip install --upgrade magic-wormhole`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32116 magic-wormhole में एक भेद्यता है जहाँ दुर्भावनापूर्ण फ़ाइल भेजने से महत्वपूर्ण स्थानीय फ़ाइलें ओवरराइट हो सकती हैं, जिससे सिस्टम पर समझौता हो सकता है।
यदि आप magic-wormhole के संस्करण 0.22.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
magic-wormhole को संस्करण 0.23.0 या उससे ऊपर के संस्करण में अपग्रेड करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (POC) नहीं है, लेकिन इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए magic-wormhole परियोजना की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।