प्लेटफ़ॉर्म
python
घटक
curl-cffi
में ठीक किया गया
0.15.1
0.15.0
CVE-2026-33752 curl-cffi में एक गंभीर SSRF (सर्वर-साइड रिक्वेस्ट फोरेजरी) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक सेवाओं तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, जिससे डेटा उल्लंघन या सिस्टम समझौता हो सकता है। यह भेद्यता curl-cffi के संस्करणों में मौजूद है जो 0.9.0b2 से कम या उसके बराबर हैं। इस समस्या का समाधान 0.15.0 संस्करण में जारी किया गया है।
यह भेद्यता हमलावरों के लिए आंतरिक नेटवर्क संसाधनों तक पहुँचने का एक सीधा मार्ग खोलती है। curl-cffi के माध्यम से भेजे गए अनुरोधों को हमलावर नियंत्रित URL के माध्यम से रीडायरेक्ट किया जा सकता है, जिससे वे आंतरिक सेवाओं, जैसे कि क्लाउड मेटाडेटा एंडपॉइंट तक पहुँच सकते हैं। TLS इम्प्रर्सन सुविधा का उपयोग करके, ये अनुरोध वैध ब्राउज़र ट्रैफ़िक के रूप में दिखाई दे सकते हैं, जिससे नेटवर्क सुरक्षा नियंत्रणों को बायपास करना आसान हो जाता है। उदाहरण के लिए, हमलावर संवेदनशील कॉन्फ़िगरेशन डेटा प्राप्त कर सकते हैं, आंतरिक सेवाओं को नियंत्रित कर सकते हैं, या अन्य आंतरिक प्रणालियों में आगे बढ़ सकते हैं। इस भेद्यता का उपयोग अन्य भेद्यताओं का फायदा उठाने के लिए भी किया जा सकता है, जिससे सिस्टम पर नियंत्रण प्राप्त हो सकता है।
CVE-2026-33752 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और SSRF भेद्यताओं की प्रकृति को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता Python वातावरण में curl-cffi लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों को प्रभावित करती है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, जल्द ही PoC का उदय होने की संभावना है। CISA ने इस CVE को अपनी KEV सूची में शामिल करने की संभावना पर विचार किया है।
Applications and services that rely on the curl-cffi Python library for making HTTP requests are at risk. This includes web applications, automation scripts, and any other Python-based tools that utilize curl-cffi. Specifically, environments where curl-cffi is used to interact with cloud metadata endpoints or other internal services are particularly vulnerable.
• python / library:
import subprocess
result = subprocess.run(['pip', 'show', 'curl-cffi'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip().split('\n')[0]
if version <= '0.9.0b2':
print('Vulnerable version of curl-cffi detected!')• generic web:
curl -I https://your-application-url/ | grep -i 'Server:'• generic web:
curl -I https://your-application-url/ | grep -i 'X-Powered-By:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33752 को कम करने के लिए, curl-cffi को तुरंत 0.15.0 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके आंतरिक IP रेंज के अनुरोधों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, curl-cffi के TLS इम्प्रर्सन सुविधा को अक्षम करने पर विचार करें। जाँच करें कि curl-cffi का उपयोग करने वाले सभी एप्लिकेशन आंतरिक IP रेंज के अनुरोधों को ठीक से संभाल रहे हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, आंतरिक सेवाओं तक पहुँचने का प्रयास करके सत्यापित करें।
वल्नरेबिलिटी को कम करने के लिए curl_cffi लाइब्रेरी को संस्करण 0.15.0 या उच्चतर में अपडेट करें। यह अपडेट आंतरिक IP रेंज में अनुरोधों को प्रतिबंधित करता है और रीडायरेक्ट समस्या को ठीक करता है, आंतरिक सेवाओं तक अनधिकृत पहुंच को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33752 curl-cffi में एक SSRF भेद्यता है जो हमलावरों को आंतरिक सेवाओं तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।
यदि आप curl-cffi के संस्करण 0.9.0b2 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
curl-cffi को 0.15.0 या बाद के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करके आंतरिक IP रेंज के अनुरोधों को ब्लॉक करें।
अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन इसका शोषण होने की संभावना है।
curl-cffi परियोजना की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।