प्लेटफ़ॉर्म
php
घटक
chyrp-lite
में ठीक किया गया
2026.01
CVE-2026-35174 Chyrp Lite नामक एक हल्के ब्लॉगिंग इंजन में पाई गई एक गंभीर भेद्यता है। यह भेद्यता हमलावरों को व्यवस्थापक या 'सेटिंग बदलें' अनुमति वाले उपयोगकर्ता को अपलोड पथ को किसी भी फ़ोल्डर में बदलने की अनुमति देती है, जिससे सर्वर से किसी भी फ़ाइल को डाउनलोड करना और महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट करना संभव हो जाता है, जिसके परिणामस्वरूप रिमोट कोड एग्जीक्यूशन (RCE) हो सकता है। यह भेद्यता Chyrp Lite के संस्करण 0.0.0 से लेकर 2026.01 से पहले के संस्करणों को प्रभावित करती है। 2026.01 संस्करण में इस समस्या का समाधान किया गया है।
Chyrp Lite में CVE-2026-35174 एक पाथ ट्रैवर्सल भेद्यता है, जो एडमिनिस्ट्रेशन कंसोल में स्थित है। एक व्यवस्थापक या 'सेटिंग बदलें' अनुमति वाले उपयोगकर्ता अपलोड पाथ को सर्वर पर किसी भी फ़ोल्डर में बदल सकते हैं। यह एक हमलावर को मनमाना फ़ाइलें डाउनलोड करने की अनुमति देता है, जिसमें डेटाबेस क्रेडेंशियल युक्त संवेदनशील कॉन्फ़िगरेशन फ़ाइलें जैसे config.json.php शामिल हैं। इस भेद्यता का सफलतापूर्वक शोषण करने से अनधिकृत डेटाबेस एक्सेस, डेटा उल्लंघन और महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट करके रिमोट कोड निष्पादन हो सकता है। इस भेद्यता की गंभीरता इसके शोषण में आसानी और सर्वर और उसके डेटा को होने वाले संभावित नुकसान से उत्पन्न होती है।
यह भेद्यता Chyrp Lite एडमिनिस्ट्रेशन पैनल के माध्यम से शोषण की जाती है। व्यवस्थापक विशेषाधिकार या 'सेटिंग बदलें' अनुमति वाले एक हमलावर अपलोड पाथ को सर्वर के फ़ाइल सिस्टम पर मनमाना स्थानों की ओर इंगित करने के लिए हेरफेर कर सकता है। पाथ बदलने के बाद, हमलावर संवेदनशील फ़ाइलें, जैसे डेटाबेस कॉन्फ़िगरेशन फ़ाइलें, डाउनलोड कर सकता है, या महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट कर सकता है, जिससे रिमोट कोड निष्पादन हो सकता है। शोषण की सरलता, डेटा एक्सपोजर और सिस्टम समझौता करने की क्षमता के संयोजन से यह एक उच्च प्राथमिकता वाली भेद्यता बन गई है।
Small to medium-sized businesses and individuals using Chyrp Lite for their blogs are at significant risk. Shared hosting environments are particularly vulnerable, as a compromised Chyrp Lite installation could potentially impact other websites hosted on the same server. Legacy Chyrp Lite installations that have not been regularly updated are also at increased risk.
• linux / server:
find /var/www/chyrp/ -name 'config.json.php' -print• generic web:
curl -I http://your-chyrp-site.com/admin/settings.php?uploads_path=../../../../etc/passwd• php:
Check the uploads_path configuration setting in the settings.php file for suspicious paths containing ../ sequences.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.46% (64% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित शमन Chyrp Lite को संस्करण 2026.01 या बाद में अपडेट करना है, जिसमें इस भेद्यता के लिए एक फिक्स शामिल है। अपडेट लागू होने तक, केवल विश्वसनीय उपयोगकर्ताओं को ही एडमिनिस्ट्रेशन कंसोल तक पहुंच सीमित करें और अपलोड सेटिंग्स में किए गए किसी भी बदलाव को ध्यान से समीक्षा करें। मजबूत एक्सेस नियंत्रण लागू करना और संदिग्ध व्यवहार के लिए सर्वर गतिविधि की निगरानी भी जोखिम को कम करने में मदद कर सकती है। संभावित समझौता से Chyrp Lite इंस्टॉलेशन की सुरक्षा के लिए त्वरित पैचिंग महत्वपूर्ण है।
Actualice Chyrp Lite a la versión 2026.01 o posterior para corregir la vulnerabilidad de recorrido de ruta. Verifique y restrinja los permisos de usuario para evitar que los usuarios no autorizados modifiquen la ruta de carga. Implemente una validación de entrada robusta para evitar la manipulación de la ruta de carga.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Chyrp Lite एक अल्ट्रा-लाइटवेट ब्लॉगिंग इंजन है।
संस्करण 2026.01 CVE-2026-35174 को संबोधित करता है, जो एक पाथ ट्रैवर्सल भेद्यता है जो अनधिकृत फ़ाइल एक्सेस और संभावित कोड निष्पादन की अनुमति दे सकती है।
एडमिन पैनल तक पहुंच को सीमित करें और सर्वर गतिविधि की निगरानी करें।
डेटाबेस कॉन्फ़िगरेशन फ़ाइलें (जैसे config.json.php) और महत्वपूर्ण सिस्टम फ़ाइलें।
यदि आप 2026.01 से पहले का संस्करण चला रहे हैं, तो आपका इंस्टॉलेशन भेद्य है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।