प्लेटफ़ॉर्म
java
घटक
org.apache.pdfbox:pdfbox-examples
में ठीक किया गया
2.0.37
3.0.8
2.0.37
Apache PDFBox Examples में एक Path Traversal भेद्यता पाई गई है, जो हमलावरों को फ़ाइल सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता PDFBox के ExtractEmbeddedFiles उदाहरण में मौजूद है, जो संस्करण 2.0.24 से 2.0.36 और 3.0.0 से 3.0.7 तक के संस्करणों को प्रभावित करती है। संस्करण 2.0.37 या 3.0.8 पर अपडेट करने की अनुशंसा की जाती है, या GitHub PR 427 में दिए गए समाधान को लागू करें।
Apache PDFBox उदाहरणों में एक पथ पारगमन (Path Traversal) भेद्यता की पहचान की गई है, विशेष रूप से ExtractEmbeddedFiles उदाहरण में। यह भेद्यता (CWE-22) एक हमलावर को इच्छित निर्देशिका के बाहर फ़ाइलों तक पहुंचने की अनुमति देती है, जिससे सिस्टम की गोपनीयता और अखंडता खतरे में पड़ सकती है। इससे प्रभावित Apache PDFBox संस्करण 2.0.24 से 2.0.36 और 3.0.0 से 3.0.7 हैं। इस भेद्यता की गंभीरता को CVSS 4.3 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है। सफल शोषण से एक हमलावर को कॉन्फ़िगर किए गए अनुमतियों के आधार पर सर्वर पर संवेदनशील फ़ाइलों तक पहुंचने की अनुमति मिल सकती है।
यह भेद्यता Apache PDFBox में ExtractEmbeddedFiles उदाहरण के माध्यम से शोषण की जाती है। एक हमलावर उदाहरण को प्रदान किए गए इनपुट में हेरफेर कर सकता है ताकि पथ पारगमन अनुक्रम जैसे '..' (दो बिंदु) शामिल हों, जो पैरेंट निर्देशिकाओं में नेविगेट करने की अनुमति देते हैं। यह इच्छित कार्य निर्देशिका के बाहर फ़ाइलों (जैसे कॉन्फ़िगरेशन फ़ाइलें या संवेदनशील डेटा) तक पहुंचने की अनुमति दे सकता है। शोषण के लिए ExtractEmbeddedFiles उदाहरण तक पहुंच की आवश्यकता होती है, जिसमें आमतौर पर पर्याप्त विशेषाधिकारों के साथ उदाहरण कोड को निष्पादित करना शामिल होता है।
Organizations using Apache PDFBox Examples in their applications, particularly those deploying it as part of a larger Java-based system, are at risk. This includes developers integrating PDF processing capabilities into their applications and those using shared hosting environments where the PDFBox Examples component might be pre-installed.
• java / server:
# Check for vulnerable versions of pdfbox-examples
find / -name "pdfbox-examples*.jar" -exec java -jar {} org.apache.pdfbox.examples.ExtractEmbeddedFiles --version | grep -q '2.0.24-2.0.36' && echo "VULNERABLE"• generic web:
# Check for access to ExtractEmbeddedFiles endpoint
curl -I http://your-server/ExtractEmbeddedFilesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Apache PDFBox के संस्करण 2.0.37 या 3.0.8 में जल्द से जल्द अपडेट करने की पुरजोर अनुशंसा की जाती है जब वे उपलब्ध हों। इस बीच, GitHub पुल अनुरोध 427 में एक फिक्स प्रदान किया गया है। यह फिक्स ExtractEmbeddedFiles उदाहरण के भीतर कोड को संशोधित करके अनधिकृत फ़ाइल पथ हेरफेर को रोकने का काम करता है। कमजोर प्रणालियों की सुरक्षा के लिए इस फिक्स को जल्द से जल्द लागू करना महत्वपूर्ण है। नवीनतम सुरक्षा पैच लागू करने के लिए Apache PDFBox सुरक्षा अपडेट की निगरानी करने की अनुशंसा की जाती है।
Actualice a la versión 2.0.37 o 3.0.8 una vez que estén disponibles. Si no es posible, aplique la corrección proporcionada en el pull request 427 de GitHub (https://github.com/apache/pdfbox/pull/427/changes) para mitigar la vulnerabilidad de recorrido de ruta.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक भेद्यता है जो एक हमलावर को फ़ाइल पथों में हेरफेर करके वेब सर्वर पर उन फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देती है जिन तक उसे पहुंच नहीं होनी चाहिए।
यदि आप प्रभावित संस्करणों में Apache PDFBox का उपयोग कर रहे हैं और फिक्स लागू नहीं करते हैं, तो एक हमलावर संभावित रूप से आपके सर्वर पर संवेदनशील फ़ाइलों तक पहुंच सकता है।
आप इसे GitHub पर Apache PDFBox रिपॉजिटरी में पा सकते हैं: [Insert GitHub Link Here - Replace with actual link].
जब तक आप एक पैच किए गए संस्करण में अपडेट नहीं कर सकते, तब तक GitHub पुल अनुरोध 427 में प्रदान किए गए फिक्स को एक अस्थायी उपाय के रूप में लागू करें।
यह भेद्यता CVE-2026-23907 से संबंधित है, जो Apache PDFBox को भी प्रभावित करता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।