dynaconf असुरक्षित टेम्पलेट मूल्यांकन (@jinja) रिसॉल्वर के माध्यम से रिमोट कोड एग्जीक्यूशन (RCE) से प्रभावित

यह भेद्यता हमलावरों के लिए अत्यधिक हानिकारक है क्योंकि वे सिस्टम पर मनमाना कोड निष्पादित कर सकते हैं। हमलावर पर्यावरण चर, .env फ़ाइलों, कंटेनर पर्यावरण कॉन्फ़िगरेशन या CI/CD रहस्यों जैसे कॉन्फ़िगरेशन स्रोतों को प्रभावित करके ऐसा कर सकते हैं। सफल शोषण से डेटा चोरी, सिस्टम समझौता, या यहां तक ​​कि सिस्टम पर पूर्ण नियंत्रण भी हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि dynaconf का उपयोग कई अनुप्रयोगों में कॉन्फ़िगरेशन डेटा को प्रबंधित करने के लिए किया जाता है, जिससे संभावित रूप से कई सिस्टम खतरे में पड़ जाते हैं। यह भेद्यता Log4Shell जैसे SSTI शोषण पैटर्न के समान है, जहां असुरक्षित टेम्पलेट मूल्यांकन से मनमाना कोड निष्पादन हो सकता है।

Applications and systems that rely on Dynaconf for configuration management, particularly those deployed in environments where configuration sources (environment variables, .env files, CI/CD pipelines) are not adequately secured, are at significant risk. Shared hosting environments and applications using containerized deployments are also particularly vulnerable due to the ease with which configuration values can be manipulated.

• python / server:

import subprocess
import os

# Check Dynaconf version
result = subprocess.run(['pip', 'show', 'dynaconf'], capture_output=True, text=True)
output = result.stdout
if 'Version:' in output:
    version = output.split('Version:')[1].strip().split('\n')[0]
    if version <= '3.2.9':
        print(f'Dynaconf version is vulnerable: {version}')
else:
    print('Dynaconf is not installed or version cannot be determined.')

• linux / server:

# Check Dynaconf version using pip
python3 -c "import dynaconf; print(dynaconf.__version__)"
# Check for suspicious processes
ps aux | grep -i jinja

• generic web: Inspect application logs for any errors or warnings related to Jinja2 template evaluation or unexpected command execution.

1. 2026-03-18Disclosure

   disclosure

1. आरक्षित2026-03-17
2. प्रकाशित2026-03-18
3. संशोधित2026-04-14
4. EPSS अद्यतन2026-03-28

CVE-2026-33154 के लिए प्राथमिक शमन उपाय dynaconf को संस्करण 3.2.13 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो अस्थायी शमन रणनीतियों में कॉन्फ़िगरेशन स्रोतों को सख्त करना शामिल है ताकि हमलावर उन्हें प्रभावित न कर सके। इसमें पर्यावरण चर और .env फ़ाइलों में इनपुट को मान्य करना शामिल है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग SSTI हमलों को ब्लॉक करने के लिए भी किया जा सकता है। इसके अतिरिक्त, jinja2 पैकेज को अनइंस्टॉल करने से इस भेद्यता को कम किया जा सकता है, लेकिन इससे dynaconf की कार्यक्षमता प्रभावित हो सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, कॉन्फ़िगरेशन फ़ाइलों में संभावित SSTI पेलोड का परीक्षण करके सत्यापित करें।