प्लेटफ़ॉर्म
go
घटक
github.com/dagu-org/dagu
में ठीक किया गया
2.0.1
1.30.4-0.20260319093346-7d07fda8f9de
CVE-2026-33344 एक पथ पारगमन भेद्यता है जो Dagu में पाई गई है। यह भेद्यता हमलावरों को फ़ाइल सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह भेद्यता Dagu के संस्करण 1.30.4-0.20260319093346-7d07fda8f9de से पहले के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 1.30.4-0.20260319093346-7d07fda8f9de में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Dagu सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक पहुंचने की अनुमति देती है। हमलावर %2F-encoded फॉरवर्ड स्लैश का उपयोग करके पथ को पार कर सकते हैं और DAGs निर्देशिका के बाहर फ़ाइलों तक पहुंच सकते हैं। इससे गोपनीय जानकारी का खुलासा हो सकता है, सिस्टम को समझौता किया जा सकता है, या अन्य दुर्भावनापूर्ण गतिविधियाँ की जा सकती हैं। इस भेद्यता का शोषण करने के लिए हमलावर को Dagu API के साथ इंटरैक्ट करने में सक्षम होना चाहिए, जो इसे वेब-आधारित हमलों के लिए असुरक्षित बनाता है।
CVE-2026-33344 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता का शोषण करने के लिए हमलावर आसानी से एक बना सकते हैं। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो इसकी गंभीरता को दर्शाता है।
Organizations utilizing Dagu for DAG management, particularly those with publicly exposed API endpoints, are at risk. Environments with legacy Dagu configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Dagu instance also face increased risk.
• linux / server:
journalctl -u dagu -g "locateDAG" | grep -i '%2F'• generic web:
curl -I 'http://your-dagu-instance/api/dag/your-dag-name/%2e%2e%2f/etc/passwd' | grep 'HTTP/1.1 403' # Expect 403 Forbidden after patchingdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33344 को कम करने के लिए, Dagu को संस्करण 1.30.4-0.20260319093346-7d07fda8f9de या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियमों को कॉन्फ़िगर करें। इनपुट सत्यापन को मजबूत करने और फ़ाइल पथों को मान्य करने के लिए Dagu के कॉन्फ़िगरेशन की समीक्षा करें। सुनिश्चित करें कि Dagu सर्वर पर फ़ाइल सिस्टम अनुमतियाँ उचित रूप से कॉन्फ़िगर की गई हैं ताकि अनधिकृत पहुंच को रोका जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल पथों को मान्य करने के लिए Dagu API का परीक्षण करें।
Actualice Dagu a la versión 2.3.1 o superior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente los nombres de los DAG en todos los endpoints de la API.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33344 Dagu में एक पथ पारगमन भेद्यता है जो हमलावरों को फ़ाइल सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।
यदि आप Dagu के संस्करण 1.30.4-0.20260319093346-7d07fda8f9de से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Dagu को संस्करण 1.30.4-0.20260319093346-7d07fda8f9de या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2026-33344 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण किया जा सकता है।
आधिकारिक Dagu सलाहकार के लिए, कृपया Dagu की वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।