प्लेटफ़ॉर्म
python
घटक
nltk
में ठीक किया गया
3.9.4
3.9.3
NLTK (Natural Language Toolkit) डाउनलोडर में एक पथ पारगमन भेद्यता पाई गई है। यह भेद्यता हमलावरों को दूरस्थ XML इंडेक्स फ़ाइलों में subdir और id विशेषताओं को नियंत्रित करने की अनुमति देती है, जिससे मनमाने ढंग से निर्देशिकाएँ बनाने, फ़ाइलें बनाने या महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट करने की क्षमता मिलती है। यह भेद्यता NLTK के संस्करणों में मौजूद है जो 3.9.2 से कम या उसके बराबर हैं। नवीनतम संस्करण में अपग्रेड करने की अनुशंसा की जाती है।
यह भेद्यता गंभीर है क्योंकि यह हमलावरों को सिस्टम पर मनमाने कोड निष्पादित करने या संवेदनशील डेटा तक पहुंचने की अनुमति दे सकती है। हमलावर /etc/passwd या ~/.ssh/authorized_keys जैसी महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट करके सिस्टम की सुरक्षा को खतरे में डाल सकते हैं। इसके अतिरिक्त, वे मनमाने स्थानों पर निर्देशिकाएँ बना सकते हैं और फ़ाइलें बना सकते हैं, जिससे सिस्टम की अखंडता से समझौता हो सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को एक दुर्भावनापूर्ण XML इंडेक्स सर्वर को नियंत्रित करने की आवश्यकता होगी जो पथ पारगमन अनुक्रमों (जैसे ../) युक्त दुर्भावनापूर्ण मान प्रदान करता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी CVSS स्कोर 8.1 (HIGH) है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Systems running NLTK versions 3.9.2 and earlier are at risk, particularly those where the NLTK downloader is exposed to untrusted XML index servers. Development environments and automated build pipelines that utilize NLTK are also potential targets.
• python / nltk:
import os
import hashlib
def check_nltk_version():
import nltk
version = nltk.version.version
if version <= '3.9.2':
print(f"NLTK version {version} is vulnerable to CVE-2026-33236.")
else:
print(f"NLTK version {version} is not vulnerable.")
check_nltk_version()• generic web: Monitor access logs for requests to NLTK download endpoints containing path traversal sequences (e.g., ../).
• generic web: Check for unexpected files or directories created in system directories.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, NLTK को नवीनतम संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए अस्थायी समाधान लागू किए जा सकते हैं। इसमें डाउनलोडर द्वारा बनाई जा सकने वाली फ़ाइलों के लिए एक विशिष्ट निर्देशिका का उपयोग करना और उस निर्देशिका में लिखने की अनुमति को सीमित करना शामिल है। इसके अतिरिक्त, फ़ायरवॉल या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण XML इंडेक्स सर्वर से कनेक्शन को ब्लॉक किया जा सकता है। NLTK के नवीनतम संस्करण में अपग्रेड करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, डाउनलोडर को फिर से चलाकर सत्यापित करें।
Actualice la biblioteca NLTK a una versión posterior a 3.9.3. Esto se puede hacer utilizando el gestor de paquetes pip: `pip install --upgrade nltk`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33236 nltk डाउनलोडर में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलें बनाने या ओवरराइट करने की अनुमति देती है।
यदि आप NLTK के संस्करण 3.9.2 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
NLTK को नवीनतम संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए अस्थायी समाधान लागू करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।
अधिक जानकारी के लिए NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) की वेबसाइटों पर जाएँ।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।