प्लेटफ़ॉर्म
nodejs
घटक
emissary
में ठीक किया गया
8.39.1
CVE-2026-35571 affects Emissary, a P2P workflow engine, where improperly validated Mustache navigation templates permit the injection of javascript: URIs into href attributes. This allows an administrator with configuration modification privileges to execute malicious scripts against other authenticated users accessing the Emissary web interface. The vulnerability impacts versions 0.0.0 through 8.38.9, but a patch is available in version 8.39.0.
CVE-2026-35571 Emissary को प्रभावित करता है, जो एक P2P-आधारित, डेटा-संचालित वर्कफ़्लो इंजन है। 8.39.0 संस्करण से पहले, Emissary ने URL स्कीम सत्यापन के बिना Mustache नेविगेशन टेम्प्लेट का उपयोग करके कॉन्फ़िगरेशन-नियंत्रित लिंक मानों को सीधे 'href' विशेषताओं में इंटरपोलेट किया। इसका मतलब है कि 'navItems' कॉन्फ़िगरेशन को संशोधित करने में सक्षम एक व्यवस्थापक 'javascript:' URI इंजेक्ट कर सकता है, जिससे Emissary वेब इंटरफ़ेस को देखने वाले अन्य प्रमाणित उपयोगकर्ताओं के खिलाफ संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) सक्षम हो सकता है। इस भेद्यता के लिए CVSS स्कोर 4.8 है। मूल कारण इनपुट सत्यापन की कमी है, जो उपयोगकर्ता के ब्राउज़र संदर्भ में दुर्भावनापूर्ण कोड के निष्पादन की अनुमति देता है।
एक हमलावर को Emissary के 'navItems' कॉन्फ़िगरेशन को संशोधित करने के लिए एक्सेस की आवश्यकता होगी। यह प्राप्त किया जा सकता है यदि हमलावर ने व्यवस्थापक खाते को समझौता कर लिया है या कॉन्फ़िगरेशन प्रबंधन प्रणाली में एक भेद्यता पाई है। एक बार जब हमलावर कॉन्फ़िगरेशन को संशोधित कर लेता है, तो वह नेविगेशन लिंक में एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। जब कोई अन्य प्रमाणित उपयोगकर्ता इस लिंक पर क्लिक करता है, तो स्क्रिप्ट उसके ब्राउज़र में निष्पादित होती है, जिससे हमलावर कुकीज़ चुरा सकता है, उपयोगकर्ता को एक दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित कर सकता है, या उपयोगकर्ता की ओर से अन्य दुर्भावनापूर्ण क्रियाएं कर सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35571 को ठीक करने का तरीका Emissary को संस्करण 8.39.0 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में 'href' विशेषताओं में 'javascript:' URI के इंजेक्शन को रोकने के लिए URL स्कीम सत्यापन शामिल है। इसके अतिरिक्त, 'navItems' कॉन्फ़िगरेशन तक पहुंच नियंत्रण की समीक्षा और मजबूत करने की अनुशंसा की जाती है ताकि यह सीमित किया जा सके कि कौन इसे संशोधित कर सकता है। सामग्री सुरक्षा नीति (CSP) को लागू करने से भी संभावित XSS हमले के प्रभाव को कम करने में मदद मिल सकती है, भले ही अपग्रेड को तुरंत लागू नहीं किया जा सकता है। Emissary लॉग की नियमित रूप से निगरानी संदिग्ध गतिविधि के लिए करना भी एक अच्छी सुरक्षा प्रथा है।
Actualice a la versión 8.39.0 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para prevenir la inyección de javascript: URIs en los atributos href de las plantillas de navegación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Emissary के 8.39.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित होने की संभावना है। अपने वर्तमान संस्करण की जांच करें और जितनी जल्दी हो सके अपग्रेड करें।
'navItems' कॉन्फ़िगरेशन Emissary वेब इंटरफ़ेस में प्रदर्शित नेविगेशन तत्वों को परिभाषित करता है।
सामग्री सुरक्षा नीति (CSP) एक अतिरिक्त सुरक्षा परत है जो प्रशासकों को वेब पृष्ठ के लिए ब्राउज़र द्वारा लोड करने की अनुमति दी जाने वाली संसाधनों को नियंत्रित करने की अनुमति देती है।
सामग्री सुरक्षा नीति (CSP) को लागू करने से जोखिम को कम करने में मदद मिल सकती है, हालांकि यह एक पूर्ण समाधान नहीं है। 'navItems' कॉन्फ़िगरेशन की सावधानीपूर्वक समीक्षा करना और उस तक पहुंच को सीमित करना भी अनुशंसित है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।