प्लेटफ़ॉर्म
python
घटक
shynet
में ठीक किया गया
0.14.0
CVE-2026-35508 Shynet में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति दे सकती है, जिससे संभावित रूप से उपयोगकर्ता डेटा चोरी हो सकता है या वेबसाइट को विकृत किया जा सकता है। यह भेद्यता Shynet के 0–0.14.0 संस्करणों को प्रभावित करती है। संस्करण 0.14.0 में इस समस्या का समाधान किया गया है।
शाइनट के पुराने संस्करणों (0.14.0 से पहले) में, urldisplay और iconify टेम्पलेट फिल्टरों में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता मौजूद है। इसका मतलब है कि एक हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इन फिल्टरों के माध्यम से इंजेक्ट कर सकता है। उदाहरण के लिए, यदि कोई उपयोगकर्ता किसी लिंक पर क्लिक करता है या किसी ऐसे पृष्ठ को देखता है जिसमें हमलावर द्वारा इंजेक्ट की गई स्क्रिप्ट है, तो स्क्रिप्ट उपयोगकर्ता के ब्राउज़र में निष्पादित हो जाएगी। इससे हमलावर उपयोगकर्ता के कुकीज़ तक पहुंच प्राप्त कर सकता है, उपयोगकर्ता को फ़िशिंग वेबसाइट पर रीडायरेक्ट कर सकता है, या उपयोगकर्ता के ब्राउज़र के माध्यम से दुर्भावनापूर्ण क्रियाएं कर सकता है। यदि शाइनट का उपयोग संवेदनशील डेटा प्रदर्शित करने या उपयोगकर्ता इनपुट को संसाधित करने के लिए किया जाता है, तो इस भेद्यता का शोषण करने से डेटा उल्लंघन या खाते के समझौता हो सकता है। हमले का दायरा इस बात पर निर्भर करता है कि शाइनट का उपयोग कैसे किया जा रहा है और उपयोगकर्ता के पास क्या विशेषाधिकार हैं। एक हमलावर, उपयोगकर्ता के सत्र को हाईजैक करके, शाइनट के भीतर अधिक विशेषाधिकार प्राप्त कार्यों को करने में सक्षम हो सकता है, खासकर यदि उपयोगकर्ता व्यवस्थापक या अन्य उच्च-स्तरीय भूमिका निभाता है।
वर्तमान में, CVE-2026-35508 के लिए कोई सार्वजनिक शोषण रिपोर्ट (KEV) उपलब्ध नहीं है। इसका मतलब है कि इस भेद्यता का सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं। हालांकि, इसका मतलब यह नहीं है कि यह भेद्यता शोषण के लिए असुरक्षित है। हमलावर इस भेद्यता का फायदा उठाने के लिए शोषण विकसित कर सकते हैं। इस भेद्यता की गंभीरता को देखते हुए, इसे जल्द से जल्द ठीक करना महत्वपूर्ण है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) अभी तक नहीं हैं, लेकिन XSS भेद्यता के कारण, शोषण का विकास संभव है। चूंकि कोई ज्ञात शोषण नहीं है, इसलिए तत्काल जोखिम कम है, लेकिन संभावित प्रभाव को कम करने के लिए जल्द से जल्द पैच लागू करना उचित है।
Applications utilizing Shynet versions 0.0 through 0.14.0 are at risk. This includes web applications that rely on Shynet for templating and URL display functionality. Specifically, applications with user-controllable input that is directly rendered by the urldisplay or iconify filters are most vulnerable.
• python / server:
# Check for vulnerable Shynet versions
python -c 'import shynet; print(shynet.__version__)'• generic web:
# Check for suspicious URL parameters in access logs
grep -i 'urldisplay|iconify' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35508 को ठीक करने का सबसे अच्छा तरीका शाइनट को संस्करण 0.14.0 या उसके बाद के संस्करण में अपग्रेड करना है। यह संस्करण भेद्यता को ठीक करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, urldisplay और iconify फिल्टरों में उपयोगकर्ता इनपुट को सैनिटाइज करने पर विचार करें। यह सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को उचित रूप से एस्केप किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोका जा सके। सैनिटाइजेशन को लागू करते समय, यह सुनिश्चित करना महत्वपूर्ण है कि यह सभी संभावित इंजेक्शन बिंदुओं को कवर करता है। अपग्रेड करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है। आप यह जांचने के लिए एक साधारण XSS परीक्षण कर सकते हैं कि क्या दुर्भावनापूर्ण स्क्रिप्ट अब निष्पादित हो रही है। अपग्रेड प्रक्रिया के दौरान, शाइनट के कॉन्फ़िगरेशन और डेटा का बैकअप लेना सुनिश्चित करें ताकि किसी भी समस्या की स्थिति में आप आसानी से वापस लौट सकें।
Actualice Shynet a la versión 0.14.0 o superior. Esta versión corrige las vulnerabilidades XSS en los filtros de plantilla urldisplay e iconify. La actualización se puede realizar a través de pip: `pip install --upgrade shynet`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35508 शाइनट के पुराने संस्करणों में urldisplay और iconify टेम्पलेट फिल्टरों में मौजूद एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है।
यदि आप शाइनट के संस्करण 0.14.0 से पहले का संस्करण उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-35508 को ठीक करने के लिए, शाइनट को संस्करण 0.14.0 या उसके बाद के संस्करण में अपग्रेड करें।
वर्तमान में, CVE-2026-35508 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं है।
आप इस भेद्यता के बारे में अधिक जानकारी राष्ट्रीय भेद्यता डेटाबेस (NVD) पर पा सकते हैं: [NVD लिंक यहाँ डालें]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।