CVE-2026-35197: कोड निष्पादन in dye

यह भेद्यता एक हमलावर को डाई लाइब्रेरी का उपयोग करने वाली शेल स्क्रिप्ट के भीतर मनमाना कोड निष्पादित करने की अनुमति दे सकती है। यदि कोई हमलावर स्क्रिप्ट को नियंत्रित कर सकता है जो डाई लाइब्रेरी का उपयोग करती है, तो वे सिस्टम पर हानिकारक कार्य कर सकते हैं, जैसे कि फ़ाइलें हटाना, सिस्टम कॉन्फ़िगरेशन बदलना या अन्य दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करना। इस भेद्यता का प्रभाव स्क्रिप्ट के निष्पादन संदर्भ पर निर्भर करता है; उदाहरण के लिए, यदि स्क्रिप्ट रूट विशेषाधिकारों के साथ चल रही है, तो हमलावर को सिस्टम पर पूर्ण नियंत्रण मिल सकता है। चूंकि यह भेद्यता डाई टेम्पलेट एक्सप्रेशन के माध्यम से शोषण करने की अनुमति देती है, इसलिए यह अन्य टेम्पलेट इंजेक्शन भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है।

Developers and system administrators using the dye color library in their shell scripts or applications are at risk. Specifically, those relying on older, unpatched versions (0.0.0–<1.1.1) are vulnerable. Automated build systems and CI/CD pipelines that incorporate dye should be updated to use the patched version.

1. 2026-04-06Disclosure

   disclosure

1. आरक्षित2026-04-01
2. प्रकाशित2026-04-06
3. संशोधित2026-04-07
4. EPSS अद्यतन2026-04-14

CVE-2026-35197 को कम करने का प्राथमिक तरीका डाई लाइब्रेरी को संस्करण 1.1.1 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो डाई लाइब्रेरी के उपयोग को सीमित करने पर विचार करें और केवल विश्वसनीय स्रोतों से ही इनपुट स्वीकार करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग डाई लाइब्रेरी के उपयोग को सीमित करने और संभावित हमलों को अवरुद्ध करने के लिए किया जा सकता है। डाई लाइब्रेरी के उपयोग को सीमित करने के लिए कॉन्फ़िगरेशन वर्कअराउंड भी उपलब्ध हो सकते हैं, लेकिन ये अपग्रेड के समान सुरक्षा प्रदान नहीं कर सकते हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, डाई लाइब्रेरी के साथ स्क्रिप्ट चलाकर और यह सुनिश्चित करके कि कोई मनमाना कोड निष्पादित नहीं किया जा रहा है।