प्लेटफ़ॉर्म
go
घटक
github.com/openbao/openbao
में ठीक किया गया
2.5.3
0.0.0-20260325133417-6e2b2dd84f0e
CVE-2026-33758 openbao में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को पीड़ित के वेब यूआई टोकन तक पहुंचने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता openbao के उन इंस्टॉलेशन को प्रभावित करती है जिनमें OIDC/JWT प्रमाणीकरण सक्षम है और callback_mode=direct कॉन्फ़िगर किया गया है। v2.5.2 में एक पैच जारी किया गया है।
यह भेद्यता openbao उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। एक हमलावर error_description पैरामीटर के माध्यम से XSS का फायदा उठाकर पीड़ित के वेब यूआई टोकन को चुरा सकता है। इस टोकन का उपयोग हमलावर पीड़ित के रूप में सिस्टम तक पहुंचने, संवेदनशील डेटा तक पहुंचने और दुर्भावनापूर्ण क्रियाएं करने के लिए कर सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को पीड़ित को एक दुर्भावनापूर्ण लिंक पर क्लिक करने या एक दुर्भावनापूर्ण वेबसाइट पर जाने के लिए प्रेरित करने की आवश्यकता होती है। इस भेद्यता का प्रभाव व्यापक हो सकता है, खासकर उन संगठनों में जो openbao का उपयोग महत्वपूर्ण डेटा को प्रबंधित करने के लिए करते हैं।
CVE-2026-33758 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। हालांकि, भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, यह अनुशंसा की जाती है कि प्रभावित सिस्टम को जल्द से जल्द पैच किया जाए। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन वे व्यापक रूप से ज्ञात नहीं हैं।
एक्सप्लॉइट स्थिति
EPSS
0.12% (31% शतमक)
CISA SSVC
CVE-2026-33758 के प्रभाव को कम करने के लिए, openbao के नवीनतम संस्करण (v2.5.2 या बाद का) में अपग्रेड करना सबसे अच्छा तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, callback_mode को direct पर सेट किए गए किसी भी रोल को हटा दें। यह भेद्यता को प्रभावी ढंग से कम करेगा। अपग्रेड के बाद, यह सुनिश्चित करने के लिए सिस्टम का परीक्षण करें कि सभी कार्यक्षमताएं अपेक्षित रूप से काम कर रही हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक करने पर विचार करें।
OpenBao को संस्करण 2.5.2 या उच्चतर में अपडेट करें। वैकल्पिक रूप से, किसी भी रोल को हटा दें जिसमें `callback_mode` को `direct` के रूप में कॉन्फ़िगर किया गया है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33758 openbao में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को पीड़ित के वेब यूआई टोकन तक पहुंचने की अनुमति देती है।
यदि आप openbao का उपयोग करते हैं और OIDC/JWT प्रमाणीकरण सक्षम है और callback_mode=direct कॉन्फ़िगर किया गया है, तो आप प्रभावित हो सकते हैं।
openbao के नवीनतम संस्करण (v2.5.2 या बाद का) में अपग्रेड करें या callback_mode को direct पर सेट किए गए किसी भी रोल को हटा दें।
CVE-2026-33758 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, पैच करना महत्वपूर्ण है।
आधिकारिक openbao सलाहकार के लिए openbao की वेबसाइट या उनके सुरक्षा घोषणा पृष्ठ की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।