प्लेटफ़ॉर्म
nodejs
घटक
payload
में ठीक किया गया
3.79.2
3.79.1
CVE-2026-34746 एक प्रमाणित सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो Payload के अपलोड कार्यक्षमता में मौजूद है। इस भेद्यता के कारण, प्रमाणित उपयोगकर्ता जो अपलोड-सक्षम संग्रहों के लिए 'बनाएं' या 'अपडेट' एक्सेस रखते हैं, वे सर्वर को मनमाना URL पर आउटबाउंड HTTP अनुरोध करने के लिए मजबूर कर सकते हैं। यह भेद्यता Payload के संस्करण 3.79.1 से पहले के संस्करणों को प्रभावित करती है, और इसे v3.79.1 या बाद के संस्करण में ठीक किया गया है।
यह SSRF भेद्यता हमलावरों को Payload सर्वर से मनमाना HTTP अनुरोध करने की अनुमति देती है, जो आंतरिक सेवाओं तक अनधिकृत पहुंच प्रदान कर सकती है या संवेदनशील डेटा को उजागर कर सकती है। हमलावर बाहरी संसाधनों से डेटा प्राप्त कर सकते हैं, आंतरिक सेवाओं के साथ बातचीत कर सकते हैं, या यहां तक कि सर्वर को दुर्भावनापूर्ण सामग्री डाउनलोड करने के लिए प्रेरित कर सकते हैं। यदि अपलोड-सक्षम संग्रह मौजूद हैं और प्रमाणित उपयोगकर्ताओं के पास 'बनाएं' या 'अपडेट' एक्सेस है, तो भेद्यता का फायदा उठाया जा सकता है। इस भेद्यता का उपयोग आंतरिक नेटवर्क में आगे बढ़ने और अन्य प्रणालियों को लक्षित करने के लिए किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
CVE-2026-34746 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन SSRF भेद्यताओं का फायदा उठाना एक ज्ञात जोखिम है। NVD और CISA ने इस CVE के लिए कोई विशिष्ट जानकारी जारी नहीं की है।
Organizations using Payload in their Node.js applications are at risk, particularly those with upload functionality enabled and where authenticated users have 'create' or 'update' access to those collections. Shared hosting environments utilizing Payload with default configurations are also potentially vulnerable.
• nodejs / server:
npm list payload• nodejs / server:
npm audit payload• nodejs / server:
grep -r 'http.request' ./node_modules/payloaddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Payload को तुरंत संस्करण 3.79.1 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, अपलोड-सक्षम संग्रहों के लिए एक्सेस को प्रतिबंधित करने या सर्वर-साइड फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके आउटबाउंड HTTP अनुरोधों को सीमित करने पर विचार करें। WAF नियमों को उन डोमेन या IP पतों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिन्हें उपयोगकर्ता अनुरोध करने में सक्षम होना चाहिए। इसके अतिरिक्त, Payload कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि केवल आवश्यक उपयोगकर्ताओं के पास 'बनाएं' या 'अपडेट' एक्सेस है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, अपलोड कार्यक्षमता का परीक्षण करके और यह सुनिश्चित करके कि सर्वर अब मनमाना HTTP अनुरोध नहीं कर रहा है।
पेलोड (Payload) CMS को संस्करण 3.79.1 या उच्चतर में अपडेट करें। इस संस्करण में SSRF भेद्यता के लिए फिक्स शामिल है। जोखिम को कम करने के लिए जल्द से जल्द अपडेट करने की सिफारिश की जाती है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34746 Payload Node.js में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो प्रमाणित उपयोगकर्ताओं को मनमाना HTTP अनुरोध करने की अनुमति देती है।
यदि आप Payload के संस्करण 3.79.1 से पहले का उपयोग कर रहे हैं और आपके पास अपलोड-सक्षम संग्रह हैं, तो आप प्रभावित हैं।
Payload को संस्करण 3.79.1 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक्सेस को प्रतिबंधित करें या WAF का उपयोग करें।
वर्तमान में सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन SSRF भेद्यताओं का फायदा उठाना एक ज्ञात जोखिम है।
आधिकारिक Payload सलाह Payload की वेबसाइट पर उपलब्ध होनी चाहिए, लेकिन अभी तक उपलब्ध नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।