प्लेटफ़ॉर्म
nodejs
घटक
praisonai
में ठीक किया गया
4.5.114
CVE-2026-39308 PraisonAI Recipe Registry में एक पथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को रजिस्ट्री होस्ट पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता PraisonAI Recipe Registry के संस्करण 1.5.0 से 4.5.113 तक के संस्करणों को प्रभावित करती है। संस्करण 1.5.113 में अपडेट करके इस भेद्यता को ठीक किया जा सकता है।
यह भेद्यता हमलावरों को PraisonAI Recipe Registry सर्वर पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। हमलावर रजिस्ट्री रूट के बाहर फ़ाइलें बना सकते हैं, जिससे संवेदनशील डेटा का खुलासा हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। एक हमलावर रजिस्ट्री कॉन्फ़िगरेशन फ़ाइलों को संशोधित कर सकता है, दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, या अन्य सिस्टम संसाधनों तक पहुंच प्राप्त कर सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां PraisonAI Recipe Registry का उपयोग महत्वपूर्ण डेटा संग्रहीत करने या महत्वपूर्ण कार्यों को करने के लिए किया जाता है। इस भेद्यता का शोषण एक हमलावर को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है।
CVE-2026-39308 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और पथ ट्रैवर्सल भेद्यताओं की सामान्य प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता Node.js प्लेटफ़ॉर्म पर आधारित PraisonAI Recipe Registry सिस्टम को प्रभावित करती है। CISA KEV सूची में अभी तक शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, एक हमलावर आसानी से एक PoC विकसित कर सकता है।
Organizations utilizing PraisonAI Recipe Registry in production environments, particularly those with automated deployment pipelines or allowing external recipe bundle uploads, are at risk. Shared hosting environments where multiple users can upload recipe bundles are also particularly vulnerable.
• nodejs / server:
grep -r '../' /var/log/nginx/access.log• nodejs / server:
journalctl -u praisonai-registry -g 'manifest.json'• generic web:
curl -I http://your-praisonai-registry/api/v1/recipes/upload | grep 'Server:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-39308 को कम करने के लिए, PraisonAI Recipe Registry को संस्करण 1.5.113 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके रजिस्ट्री रूट के बाहर फ़ाइल निर्माण को रोकने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, रजिस्ट्री रूट के बाहर फ़ाइलों को लिखने से रोकने के लिए रजिस्ट्री कॉन्फ़िगरेशन को कड़ा किया जा सकता है। अपडेट के बाद, यह सत्यापित करें कि रजिस्ट्री रूट के बाहर कोई नई फ़ाइलें नहीं बनाई जा सकती हैं।
Actualice PraisonAI a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Asegúrese de que el acceso al registro de recetas esté protegido con un token para evitar el acceso no autorizado. Revise y configure adecuadamente los permisos de escritura en el directorio del registro para limitar el acceso a los archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-39308 PraisonAI Recipe Registry के संस्करण 1.5.0 से 4.5.113 तक में एक पथ ट्रैवर्सल भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है।
यदि आप PraisonAI Recipe Registry के संस्करण 1.5.0 से 4.5.113 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2026-39308 को ठीक करने के लिए, PraisonAI Recipe Registry को संस्करण 1.5.113 में अपडेट करें।
CVE-2026-39308 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण किया जा सकता है।
कृपया PraisonAI की आधिकारिक वेबसाइट पर जाएं या PraisonAI के सुरक्षा सलाहकार के लिए उनकी प्रलेखन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।