प्लेटफ़ॉर्म
laravel
घटक
laravel
में ठीक किया गया
9.20.1
9.20.0
9.20.1
CVE-2026-33687, Laravel कंटेंट मैनेजमेंट फ्रेमवर्क में एक अनियंत्रित फ़ाइल अपलोड भेद्यता है। यह भेद्यता प्रमाणीकृत उपयोगकर्ताओं को फ़ाइल प्रकार प्रतिबंधों को बायपास करने की अनुमति देती है, जिससे संभावित रूप से दुर्भावनापूर्ण फ़ाइलों को अपलोड किया जा सकता है। यह समस्या Laravel के 9.20.0 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 9.20.0 में ठीक कर दिया गया है।
शार्प के लिए Laravel में कंटेंट मैनेजमेंट फ्रेमवर्क में CVE-2026-33687 एक भेद्यता है जो प्रमाणित उपयोगकर्ताओं को फ़ाइल अपलोड एंडपॉइंट में सभी फ़ाइल प्रकार प्रतिबंधों को बायपास करने की अनुमति देती है। यह क्लाइंट-नियंत्रित validation_rule पैरामीटर के सत्यापन में एक दोष के कारण है। 9.20.0 से पहले के संस्करण प्रभावित हैं। एक हमलावर इस पैरामीटर में हेरफेर करके उन फ़ाइलों को अपलोड कर सकता है जिन्हें आमतौर पर प्रतिबंधित किया जाता है, जैसे कि निष्पादन योग्य फ़ाइलें, जिससे सर्वर सुरक्षा और डेटा अखंडता से समझौता हो सकता है। CVSS स्कोर 8.8 है, जो उच्च जोखिम का संकेत देता है। उचित सर्वर-साइड प्रवर्तन की कमी से रिमोट कोड निष्पादन और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं।
यह भेद्यता शार्प के फ़ाइल अपलोड एंडपॉइंट को HTTP POST अनुरोध भेजकर और validation_rule पैरामीटर में हेरफेर करके अनधिकृत फ़ाइल प्रकारों को अपलोड करने की अनुमति देकर शोषण किया जाता है। प्रमाणीकरण की आवश्यकता के कारण, हमलावर को शार्प एप्लिकेशन के भीतर एक वैध उपयोगकर्ता खाते तक पहुंच की आवश्यकता होती है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए उन्नत तकनीकी कौशल या विशेष उपकरणों की आवश्यकता नहीं होती है। प्रभाव महत्वपूर्ण हो सकता है, जिससे एक हमलावर सर्वर से समझौता कर सकता है या संवेदनशील जानकारी तक पहुंच सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान शार्प को संस्करण 9.20.0 या उससे ऊपर के संस्करण में अपडेट करना है। यह संस्करण ApiFormUploadController के भीतर validation_rule पैरामीटर के लिए सख्त सत्यापन को लागू करके सत्यापन दोष को ठीक करता है। इसके अतिरिक्त, फ़ाइल अपलोड सुरक्षा नीतियों की समीक्षा और मजबूत करने की अनुशंसा की जाती है, यह सुनिश्चित करते हुए कि सभी उपयोगकर्ता इनपुट को सर्वर-साइड पर ठीक से मान्य और सैनिटाइज किया गया है। अपलोड के बाद दुर्भावनापूर्ण फ़ाइल स्कैनिंग सिस्टम को लागू करने से भी जोखिम को कम करने में मदद मिल सकती है। अपने Laravel अनुप्रयोगों की सुरक्षा के लिए इन अपडेट और सुरक्षा उपायों को जल्द से जल्द लागू करना महत्वपूर्ण है।
Actualice Sharp a la versión 9.20.0 o superior. Como alternativa, asegúrese de que el disco de almacenamiento utilizado para las cargas de Sharp sea estrictamente privado. Bajo configuraciones predeterminadas, un atacante no puede ejecutar directamente archivos PHP cargados a menos que se utilice explícitamente una configuración de disco público.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
शार्प Laravel के लिए एक कंटेंट मैनेजमेंट फ्रेमवर्क है जो फॉर्म निर्माण और डेटा प्रबंधन को सरल बनाता है।
जांचें कि आप शार्प के किस संस्करण का उपयोग कर रहे हैं। यदि यह 9.20.0 से पहले का है, तो यह भेद्य है। आप अपने Laravel प्रोजेक्ट की composer.json फ़ाइल में संस्करण की जांच कर सकते हैं।
इस भेद्यता के साथ, एक हमलावर आमतौर पर प्रतिबंधित होने वाली निष्पादन योग्य फ़ाइलों सहित किसी भी प्रकार की फ़ाइल अपलोड कर सकता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अपलोड की जा सकने वाली फ़ाइलों के प्रकारों को सीमित करने के लिए सख्त फ़ायरवॉल नियमों को लागू करने और सर्वर लॉग की बारीकी से निगरानी करने पर विचार करें।
अपडेट करने के बाद, अपनी फ़ाइल अपलोड सुरक्षा नीतियों की समीक्षा करें और सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।