प्लेटफ़ॉर्म
python
घटक
fireshare
में ठीक किया गया
1.5.4
CVE-2026-34745 Fireshare में एक गंभीर पथ पारगमन भेद्यता है, जो मीडिया और लिंक साझा करने के लिए एक स्व-होस्टेड समाधान है। यह भेद्यता हमलावरों को सर्वर फ़ाइल सिस्टम पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। यह भेद्यता Fireshare के संस्करणों 1.5.3 से पहले के संस्करणों को प्रभावित करती है और इसे संस्करण 1.5.3 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों के लिए गंभीर परिणाम पैदा कर सकती है। हमलावर सर्वर पर मनमाने ढंग से फ़ाइलें लिख सकते हैं, जिससे वे सिस्टम पर नियंत्रण प्राप्त कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, या सिस्टम को दूषित कर सकते हैं। चूंकि भेद्यता प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, इसलिए इसका शोषण करना अपेक्षाकृत आसान है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक साधारण अनुरोध सिस्टम की सुरक्षा को दरकिनार कर सकता है। एक सफल हमलावर वेब सर्वर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस कॉन्फ़िगरेशन, या यहां तक कि सिस्टम फ़ाइलों को भी संशोधित कर सकता है, जिससे व्यापक क्षति हो सकती है।
CVE-2026-34745 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसान शोषण क्षमता के कारण, इसका शोषण होने की संभावना है। यह भेद्यता सार्वजनिक रूप से 2026-04-02 को प्रकाशित हुई थी। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन इसकी पुष्टि नहीं की जा सकती है।
Organizations running self-hosted Fireshare instances, particularly those using older versions (≤ 1.5.3), are at significant risk. Shared hosting environments where Fireshare is installed pose a heightened risk due to the potential for cross-tenant exploitation. Users who have not applied security patches or are unaware of this vulnerability are also at risk.
• linux / server: Monitor system logs (journalctl) for suspicious file creation events in writable directories. Look for patterns related to the /api/uploadChunked/public endpoint and unusual filenames.
journalctl -f | grep '/api/uploadChunked/public' | grep -i 'checkSum'• generic web: Use curl to test the /api/uploadChunked/public endpoint with crafted checkSum parameters designed to write to arbitrary paths.
curl -X POST -d '...' 'http://your-fireshare-server/api/uploadChunked/public?checkSum=../../../../etc/passwd' -v• python: If you have access to the Fireshare application code, review the app/server/fireshare/api.py file for the vulnerable upload logic and ensure the fix is correctly implemented.
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34745 को कम करने के लिए, Fireshare को तुरंत संस्करण 1.5.3 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों को कॉन्फ़िगर किया जा सकता है ताकि /api/uploadChunked/public एंडपॉइंट तक अनधिकृत पहुंच को अवरुद्ध किया जा सके। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुंचने की अनुमति हो। अपग्रेड के बाद, यह सत्यापित करें कि अपलोड प्रक्रिया ठीक से काम कर रही है और कोई अनधिकृत फ़ाइलें नहीं लिखी जा रही हैं।
संस्करण 1.5.3 या उच्चतर में अपडेट करें। यह संस्करण /api/uploadChunked/public एंडपॉइंट पर पाथ ट्रावर्सल (Path Traversal) भेद्यता को ठीक करता है। अपडेट अनधिकृत हमलावरों को सिस्टम पर मनमानी फ़ाइलें लिखने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34745 Fireshare में एक गंभीर पथ पारगमन भेद्यता है जो हमलावरों को सर्वर फ़ाइल सिस्टम पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है।
यदि आप Fireshare के संस्करण 1.5.3 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-34745 को ठीक करने के लिए, Fireshare को तुरंत संस्करण 1.5.3 में अपडेट करें।
CVE-2026-34745 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
कृपया Fireshare की आधिकारिक वेबसाइट पर जाएँ या सुरक्षा सलाहकारों के लिए उनके दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।