प्लेटफ़ॉर्म
rust
घटक
salvo
में ठीक किया गया
0.39.1
0.89.3
Salvo Rust फ्रेमवर्क के salvo-proxy घटक में एक पथ पारगमन और एक्सेस नियंत्रण बाईपास भेद्यता की खोज की गई है। यह भेद्यता एक अप्रमाणित बाहरी हमलावर को प्रॉक्सी रूटिंग बाधाओं को बायपास करने और अनपेक्षित बैकएंड पथों तक पहुंचने की अनुमति देती है। यह समस्या encodeurlpath फ़ंक्शन के कारण होती है, जो "../" अनुक्रमों को सामान्य नहीं करता है। संस्करण 0.89.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Salvo प्रॉक्सी के माध्यम से रूट किए गए बैकएंड सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। वे संवेदनशील डेटा तक पहुंच सकते हैं, प्रशासनिक डैशबोर्ड को संशोधित कर सकते हैं, या यहां तक कि बैकएंड सिस्टम पर कमांड निष्पादित कर सकते हैं। चूंकि भेद्यता प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, इसलिए इसका प्रभाव व्यापक हो सकता है। यह भेद्यता समान प्रकार की भेद्यताओं के शोषण के समान है जो अन्य प्रॉक्सी समाधानों में देखी गई हैं, जिससे संभावित रूप से डेटा उल्लंघन और सिस्टम समझौता हो सकता है।
यह CVE सार्वजनिक रूप से 2026-03-19 को प्रकाशित किया गया था। इस भेद्यता के लिए कोई सार्वजनिक प्रमाण-अवधारणा (PoC) ज्ञात नहीं है, लेकिन पथ पारगमन भेद्यताओं की प्रकृति के कारण इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। भेद्यता की गंभीरता को उच्च माना जाता है, और सक्रिय शोषण की संभावना मध्यम है।
Organizations utilizing the Salvo Rust framework in their proxy or API gateway infrastructure are at risk. This includes those deploying Salvo in production environments, particularly those with exposed backend services or administrative interfaces. Applications relying on Salvo for routing and security should be prioritized for patching.
• rust/supply-chain: Examine Cargo.toml files for dependencies on salvo versions prior to 0.89.3. Use cargo audit to identify vulnerable dependencies.
• generic web: Monitor access logs for requests containing suspicious URL patterns like .../.. or ..././...
• generic web: Inspect response headers for unexpected backend paths being exposed.
curl -I 'http://your-salvo-proxy/../../sensitive-resource' # Example request to test for bypassdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय Salvo फ्रेमवर्क को संस्करण 0.89.3 में अपडेट करना है, जिसमें इस भेद्यता को ठीक किया गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को कम किया जा सकता है। WAF को ऐसे नियमों के साथ कॉन्फ़िगर किया जाना चाहिए जो "../" अनुक्रमों को फ़िल्टर करते हैं और अनधिकृत बैकएंड पथों तक पहुंच को रोकते हैं। इसके अतिरिक्त, Salvo प्रॉक्सी के लिए एक्सेस नियंत्रण को मजबूत करना और केवल आवश्यक बैकएंड पथों तक पहुंच की अनुमति देना महत्वपूर्ण है।
Actualice Salvo a la versión 0.89.3 o superior. Esta versión corrige la vulnerabilidad de Path Traversal en el componente salvo-proxy.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33242 Salvo Rust फ्रेमवर्क के salvo-proxy घटक में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत बैकएंड पथों तक पहुंचने की अनुमति देती है।
यदि आप Salvo Rust फ्रेमवर्क के संस्करण 0.89.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Salvo फ्रेमवर्क को संस्करण 0.89.3 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करके पथ पारगमन हमलों को कम करें।
हालांकि कोई सार्वजनिक PoC ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति के कारण सक्रिय शोषण की संभावना मध्यम है।
Salvo टीम द्वारा जारी आधिकारिक सलाहकार के लिए Salvo GitHub रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Cargo.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।