प्लेटफ़ॉर्म
python
घटक
shynet
में ठीक किया गया
0.14.0
CVE-2026-35507, Shynet में एक होस्ट हेडर इंजेक्शन भेद्यता है। इसका फायदा उठाकर, हमलावर पासवर्ड रीसेट फ्लो में हेडर इंजेक्ट कर सकते हैं। यह भेद्यता Shynet के 0 से 0.14.0 संस्करणों को प्रभावित करती है। संस्करण 0.14.0 में इस समस्या का समाधान किया गया है।
शाइनट के पुराने संस्करणों में, पासवर्ड रीसेट प्रक्रिया में होस्ट हेडर इंजेक्शन की भेद्यता मौजूद है। इसका मतलब है कि एक हमलावर दुर्भावनापूर्ण होस्ट हेडर भेजकर शाइनट को भ्रमित कर सकता है। इस भेद्यता का उपयोग करके, हमलावर पासवर्ड रीसेट प्रक्रिया को हाईजैक कर सकता है और किसी अन्य उपयोगकर्ता के लिए पासवर्ड रीसेट अनुरोध को ट्रिगर कर सकता है। यदि हमलावर सफलतापूर्वक ऐसा करता है, तो वे उस उपयोगकर्ता के खाते पर नियंत्रण प्राप्त कर सकते हैं। यह विशेष रूप से खतरनाक है यदि उपयोगकर्ता के खाते में संवेदनशील जानकारी संग्रहीत है, जैसे कि वित्तीय डेटा या व्यक्तिगत पहचान जानकारी। हमलावर इस जानकारी का उपयोग पहचान की चोरी, वित्तीय धोखाधड़ी या अन्य दुर्भावनापूर्ण गतिविधियों के लिए कर सकता है। इस भेद्यता का 'ब्लास्ट रेडियस' व्यापक हो सकता है, क्योंकि यह किसी भी उपयोगकर्ता को प्रभावित कर सकता है जो पासवर्ड रीसेट प्रक्रिया का उपयोग करता है। हमलावर के पास शाइनट सर्वर तक प्रत्यक्ष पहुंच की आवश्यकता नहीं है; वे दूर से इस भेद्यता का फायदा उठा सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में चिंताजनक है जहां कई उपयोगकर्ता शाइनट का उपयोग करते हैं, क्योंकि एक सफल हमला कई खातों को खतरे में डाल सकता है।
वर्तमान में, CVE-2026-35507 के लिए कोई सार्वजनिक शोषण रिपोर्ट नहीं है (KEV)। इसका मतलब है कि इस भेद्यता का सार्वजनिक रूप से फायदा उठाने के लिए कोई ज्ञात तरीका नहीं है। हालांकि, इसका मतलब यह नहीं है कि यह भेद्यता सुरक्षित है। हमलावर हमेशा नई शोषण तकनीकों की खोज कर रहे होते हैं, और यह संभव है कि भविष्य में इस भेद्यता का फायदा उठाने का एक तरीका खोजा जाए। इस भेद्यता की गंभीरता को देखते हुए, इसे जल्द से जल्द ठीक करना महत्वपूर्ण है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, शोषण का विकास संभव है। इसलिए, तत्काल कार्रवाई की सिफारिश की जाती है, खासकर उन वातावरणों में जहां शाइनट का व्यापक रूप से उपयोग किया जाता है।
Organizations and individuals using Shynet versions 0.0 through 0.14.0 are at risk. This includes deployments in development, testing, and production environments. Shared hosting environments where Shynet is installed could also be impacted if the host does not implement adequate security measures.
• python / server:
# Check for vulnerable Shynet versions
python -c 'import shynet; print(shynet.__version__)'• generic web:
# Check for password reset endpoints and attempt Host header manipulation
curl -H "Host: attacker.com" https://your-shynet-instance/password/resetdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35507 को ठीक करने का सबसे प्रभावी तरीका शाइनट को संस्करण 0.14.0 या उससे ऊपर के संस्करण में अपग्रेड करना है। इस संस्करण में भेद्यता को ठीक किया गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप पासवर्ड रीसेट प्रक्रिया में होस्ट हेडर सत्यापन लागू कर सकते हैं। यह सुनिश्चित करेगा कि केवल अपेक्षित होस्ट हेडर स्वीकार किए जाएं। हालांकि, यह ध्यान रखना महत्वपूर्ण है कि यह समाधान पूरी तरह से सुरक्षित नहीं है और इसे अपग्रेड के साथ प्रतिस्थापित किया जाना चाहिए। अपग्रेड करते समय, यह सुनिश्चित करें कि आप शाइनट के नवीनतम संस्करण के लिए प्रलेखन का पालन करें और अपग्रेड प्रक्रिया के दौरान किसी भी संभावित समस्या से बचने के लिए बैकअप लें। अपग्रेड के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता ठीक हो गई है। आप ऐसा भेद्यता स्कैनिंग टूल का उपयोग करके या मैन्युअल रूप से परीक्षण करके कर सकते हैं। पासवर्ड रीसेट प्रक्रिया को नियमित रूप से मॉनिटर करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।
Actualice Shynet a la versión 0.14.0 o superior. Esta versión corrige la vulnerabilidad de inyección de encabezado Host en el flujo de restablecimiento de contraseña.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35507 शाइनट में होस्ट हेडर इंजेक्शन की भेद्यता है जो पासवर्ड रीसेट प्रक्रिया को प्रभावित करती है।
यदि आप शाइनट के संस्करण 0.14.0 से पहले का संस्करण उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-35507 को ठीक करने के लिए शाइनट को संस्करण 0.14.0 या उससे ऊपर के संस्करण में अपग्रेड करें।
वर्तमान में, CVE-2026-35507 के लिए कोई सार्वजनिक शोषण रिपोर्ट नहीं है।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) पर अधिक जानकारी प्राप्त कर सकते हैं: [https://nvd.nist.gov/vuln/detail/CVE-2026-35507](https://nvd.nist.gov/vuln/detail/CVE-2026-35507)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।