अनraid अपडेट रिक्वेस्ट पाथ ट्रावर्सल रिमोट कोड एग्जीक्यूशन भेद्यता

यह भेद्यता हमलावरों को Unraid सर्वर पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती है, क्योंकि वे रूट विशेषाधिकारों के साथ मनमाना कोड चला सकते हैं। इससे डेटा चोरी, सिस्टम में बदलाव, या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। चूंकि भेद्यता को शोषण करने के लिए प्रमाणीकरण की आवश्यकता होती है, इसलिए आंतरिक नेटवर्क पर समझौता किए गए खातों के माध्यम से शोषण का खतरा है। यह भेद्यता ZDI-CAN-28951 के रूप में भी जानी जाती है और संभावित रूप से अन्य सर्वर-साइड भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जिससे संवेदनशील डेटा उजागर हो सकता है और सिस्टम की अखंडता से समझौता हो सकता है।

Organizations and individuals running Unraid NAS devices, particularly those with publicly exposed management interfaces or weak authentication practices, are at risk. Shared hosting environments utilizing Unraid are also vulnerable, as a compromised account on one virtual machine could potentially be leveraged to exploit this vulnerability on the host system.

• linux / server:

journalctl -u unraid -g 'update.php'

• linux / server:

ps aux | grep -i update.php

• generic web:

curl -I http://<unraid_ip>/update.php?file=../../../../etc/passwd | head -n 1

1. 2026-03-13Disclosure

   disclosure

1. आरक्षित2026-03-09
2. प्रकाशित2026-03-13
3. संशोधित2026-03-16
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने का सबसे प्रभावी तरीका Unraid को नवीनतम संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों का उपयोग करके update.php फ़ाइल तक बाहरी पहुंच को सीमित किया जा सकता है। इसके अतिरिक्त, सिस्टम पर मजबूत प्रमाणीकरण नीतियों को लागू करना और नियमित रूप से सुरक्षा ऑडिट करना महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम लॉग की जांच करें और किसी भी असामान्य गतिविधि की निगरानी करें।