प्लेटफ़ॉर्म
javascript
घटक
homarr
में ठीक किया गया
1.57.1
CVE-2026-33510 Homarr डैशबोर्ड में एक गंभीर भेद्यता है, जो एक DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) की अनुमति देता है। इस भेद्यता का उपयोग हमलावर द्वारा प्रमाणित उपयोगकर्ताओं के ब्राउज़र के संदर्भ में मनमाना जावास्क्रिप्ट कोड निष्पादित करने के लिए किया जा सकता है, जिससे क्रेडेंशियल चोरी और अन्य अनधिकृत क्रियाएं हो सकती हैं। यह भेद्यता Homarr के /auth/login पृष्ठ में मौजूद है, संस्करण 0.0.0 से लेकर 1.57.0 तक के संस्करणों को प्रभावित करती है। संस्करण 1.57.0 में इस समस्या का समाधान किया गया है।
CVE-2026-33510 1.57.0 से पहले के संस्करणों में ओपन-सोर्स डैशबोर्ड होमआर को प्रभावित करता है। /auth/login पृष्ठ पर एक DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। एप्लिकेशन गलत तरीके से URL पैरामीटर (callbackUrl) पर भरोसा करता है, जिसे redirect और router.push को पास किया जाता है। एक हमलावर एक दुर्भावनापूर्ण लिंक बना सकता है जिसे प्रमाणित उपयोगकर्ता द्वारा खोलने पर, क्लाइंट-साइड रीडायरेक्शन होता है और उनके ब्राउज़र के संदर्भ में मनमाना जावास्क्रिप्ट कोड निष्पादित होता है। इससे क्रेडेंशियल चोरी, आंतरिक नेटवर्क तक पहुंच या उपयोगकर्ता इंटरफ़ेस का हेरफेर हो सकता है।
इस भेद्यता का शोषण एक दुर्भावनापूर्ण लिंक बनाकर किया जाता है जिसमें एक हेरफेर किया गया callbackUrl पैरामीटर होता है। इस लिंक को ईमेल, सोशल मीडिया या किसी अन्य संचार चैनल के माध्यम से वितरित किया जा सकता है। जब एक प्रमाणित होमआर उपयोगकर्ता लिंक पर क्लिक करता है, तो ब्राउज़र callbackUrl पैरामीटर में इंजेक्ट किए गए दुर्भावनापूर्ण जावास्क्रिप्ट कोड को निष्पादित करता है। उपयोगकर्ता का प्रमाणीकरण स्क्रिप्ट को उपयोगकर्ता की विशेषाधिकारों के साथ चलाने की अनुमति देता है, जिससे संवेदनशील जानकारी तक पहुंच या अनधिकृत कार्रवाई सक्षम हो सकती है।
Organizations and individuals using Homarr versions 0.0.0 through 1.57.0 are at risk. This includes those deploying Homarr in production environments, development environments, or testing environments. Shared hosting environments where Homarr is installed are particularly vulnerable, as a compromised account on one site could potentially impact other sites on the same server.
• javascript / web: Inspect browser developer console for unexpected JavaScript execution upon accessing /auth/login.
• generic web: Use curl/wget to test the /auth/login endpoint with a malicious callbackUrl parameter (e.g., curl 'http://your-homarr-instance/auth/login?callbackUrl=<script>alert(1)</script>').
• generic web: Examine access/error logs for suspicious requests to /auth/login with unusual URL parameters.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान होमआर को संस्करण 1.57.0 या उच्चतर में अपडेट करना है। यह संस्करण रीडायरेक्शन और रूटिंग कार्यों में उपयोग करने से पहले callbackUrl पैरामीटर को ठीक से मान्य और सैनिटाइज करके समस्या को ठीक करता है। होमआर उपयोगकर्ताओं को शोषण के जोखिम को कम करने के लिए जल्द से जल्द इस अपडेट को लागू करने की पुरजोर अनुशंसा की जाती है। इसके अतिरिक्त, सर्वर लॉग में संदिग्ध गतिविधि की जांच करना और XSS हमलों के संभावित प्रभाव को कम करने के लिए कंटेंट सिक्योरिटी पॉलिसी (CSP) जैसे वेब सुरक्षा नीतियों को लागू करने पर विचार करना उचित है।
Actualice a la versión 1.57.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la forma en que la aplicación maneja la URL de redirección, evitando la ejecución de código JavaScript malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) वेब सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
यदि आप 1.57.0 से पहले के होमआर संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। आप जिस होमआर संस्करण का उपयोग कर रहे हैं, उसकी जांच करें और उसे तुरंत अपडेट करें।
तुरंत अपने पासवर्ड बदल दें, खासकर यदि आप अन्य वेबसाइटों पर भी एक ही पासवर्ड का उपयोग करते हैं। संदिग्ध गतिविधि के लिए अपने खातों की निगरानी करें और साइबर सुरक्षा पेशेवर से संपर्क करने पर विचार करें।
ऐसे कई भेद्यता स्कैनिंग उपकरण हैं जो XSS का पता लगा सकते हैं। आप संभावित कमजोरियों की पहचान करने के लिए मैन्युअल परीक्षण भी कर सकते हैं।
CSP (कंटेंट सिक्योरिटी पॉलिसी) एक सुरक्षा परत है जो ब्राउज़र को लोड करने की अनुमति दी गई संसाधनों को नियंत्रित करके XSS हमलों को रोकने में मदद करती है। CSP को लागू करने से शोषण का जोखिम काफी कम हो सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।