प्लेटफ़ॉर्म
openssl
घटक
openssl
में ठीक किया गया
3.6.2
CVE-2026-34054, vcpkg के OpenSSL विंडोज बिल्ड में एक भेद्यता है, जहां openssldir को बिल्ड मशीन पर एक पथ पर सेट किया जाता है, जिससे ग्राहक मशीनों पर हमला संभव हो जाता है. यह भेद्यता उच्च प्रभाव वाली है क्योंकि इससे हमलावर संवेदनशील जानकारी तक पहुंच सकते हैं या सिस्टम को नियंत्रित कर सकते हैं. यह समस्या OpenSSL के ≤< 3.6.1#3 संस्करणों को प्रभावित करती है. संस्करण 3.6.1#3 में इस समस्या को ठीक कर दिया गया है.
CVE-2026-34054 vcpkg द्वारा प्रबंधित OpenSSL के विंडोज बिल्ड को प्रभावित करता है, जो एक मुफ्त और ओपन-सोर्स C/C++ पैकेज मैनेजर है। संस्करण 3.6.1#3 से पहले, vcpkg openssldir वेरिएबल को बिल्ड मशीन पर एक पथ पर सेट करता था। इसका मतलब था कि इस पथ और संबंधित OpenSSL कॉन्फ़िगरेशन को सॉफ़्टवेयर इंस्टॉलेशन के दौरान ग्राहक मशीनों पर स्थानांतरित किया जा सकता था। एक हमलावर सैद्धांतिक रूप से इस पथ का दुरुपयोग करने या उस तक अनधिकृत पहुंच की अनुमति देने पर एप्लिकेशन की सुरक्षा से समझौता कर सकता है। CVSS स्कोर 7.8 मध्यम गंभीरता की भेद्यता का संकेत देता है।
इस भेद्यता का शोषण करने के लिए बिल्ड मशीन तक पहुंच या vcpkg बिल्ड प्रक्रिया को प्रभावित करने की क्षमता की आवश्यकता होती है। एक हमलावर बिल्ड मशीन पर OpenSSL कॉन्फ़िगरेशन को संशोधित कर सकता है और फिर vcpkg का उपयोग करने वाले समझौता किए गए सॉफ़्टवेयर को वितरित कर सकता है। एक बार जब सॉफ़्टवेयर ग्राहक मशीन पर स्थापित हो जाता है, तो यदि openssldir पथ असुरक्षित तरीके से उपयोग किया जाता है, तो सॉफ़्टवेयर भेद्य हो सकता है। यदि पथ नेटवर्क-एक्सेसिबल निर्देशिका की ओर इशारा करता है या उस निर्देशिका पर लिखने की अनुमति है, तो जोखिम बढ़ जाता है। हालांकि ग्राहक मशीन पर प्रत्यक्ष शोषण की संभावना कम है, लेकिन निर्माण और वितरण के दौरान समझौता होने का जोखिम अभी भी महत्वपूर्ण है।
Organizations that utilize vcpkg for building C/C++ applications on Windows, particularly those relying on OpenSSL for secure communication or data encryption, are at risk. This includes developers, DevOps teams, and system administrators involved in the build and deployment pipelines. Shared hosting environments where multiple users build applications using a common vcpkg installation are also particularly vulnerable.
• windows / supply-chain:
Get-ChildItem -Path "C:\Program Files\vcpkg\installed\x64-windows\bin\openssl.exe" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName• linux / server:
find / -name "openssl.cnf" -print 2>/dev/null• generic web:
curl -I https://example.com | grep openssldirdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
इस समस्या का समाधान vcpkg को संस्करण 3.6.1#3 या बाद के संस्करण में अपडेट करना है। यह संस्करण openssldir की गलत सेटिंग को ठीक करता है और इंस्टॉलेशन प्रक्रिया के दौरान पथ को सही ढंग से सेट करता है, जिससे बिल्ड मशीन पथ को ग्राहक मशीनों पर स्थानांतरित होने से रोका जा सकता है। इस जोखिम को कम करने के लिए जल्द से जल्द vcpkg को अपडेट करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, अपने प्रोजेक्ट की निर्भरता की समीक्षा करें ताकि यह सुनिश्चित हो सके कि वे vcpkg और OpenSSL के सुरक्षित संस्करण का उपयोग कर रहे हैं। इस भेद्यता से खुद को बचाने के लिए अपडेट सबसे महत्वपूर्ण कदम है।
Actualice vcpkg a la versión 3.6.1#3 o posterior. Esto asegura que las compilaciones de OpenSSL en Windows no sean vulnerables a la manipulación de la ruta de búsqueda.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
vcpkg एक C/C++ पैकेज मैनेजर है जो सॉफ़्टवेयर प्रोजेक्ट में निर्भरता प्रबंधन को सरल बनाता है।
आप कमांड लाइन में vcpkg upgrade कमांड का उपयोग करके vcpkg को अपडेट कर सकते हैं।
ज़रूरी नहीं। प्रभाव इस बात पर निर्भर करता है कि एप्लिकेशन में OpenSSL और openssldir पथ का उपयोग कैसे किया जाता है।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट टूल नहीं है। सबसे अच्छा तरीका यह है कि आप जिस vcpkg संस्करण का उपयोग कर रहे हैं, उसकी जांच करें।
अतिरिक्त सुरक्षा उपाय करने पर विचार करें, जैसे बिल्ड मशीन तक पहुंच को प्रतिबंधित करना और OpenSSL कॉन्फ़िगरेशन की जांच करना।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।