प्लेटफ़ॉर्म
linux
घटक
cronicle
में ठीक किया गया
0.9.112
CVE-2026-39401 affects Cronicle, a multi-server task scheduler and runner. This vulnerability allows a low-privilege user to escalate their privileges by modifying event configurations, potentially altering webhook URLs and notification emails. The issue impacts versions 0.9.0 through 0.9.10, and a fix is available in version 0.9.111.
Cronicle में CVE-2026-39401 कम विशेषाधिकार वाले उपयोगकर्ताओं को किसी भी इवेंट के कॉन्फ़िगरेशन को संशोधित करने की अनुमति देता है, जिसमें वेबहुक URL और अधिसूचना ईमेल पते शामिल हैं। 0.9.111 संस्करण से पहले, सर्वर 'jb' चाइल्ड प्रक्रिया के JSON आउटपुट में 'update_event' कुंजी शामिल होने पर इवेंट के संग्रहीत कॉन्फ़िगरेशन पर सीधे अपडेट लागू करता है, बिना किसी प्राधिकरण जांच के। एक हमलावर इस कमजोरी का उपयोग सूचनाओं को पुनर्निर्देशित करने, डेटा को इंटरसेप्ट करने या समझौता किए गए वेबहुक के माध्यम से दुर्भावनापूर्ण कोड निष्पादित करने के लिए कर सकता है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि यह Cronicle द्वारा संसाधित डेटा की अखंडता और गोपनीयता को खतरे में डाल सकता है, और संभावित रूप से सिस्टम की उपलब्धता को प्रभावित कर सकता है।
Cronicle में इवेंट बनाने और चलाने की क्षमता वाले एक हमलावर इस भेद्यता का फायदा उठा सकते हैं। हमलावर एक इवेंट बनाएगा और 'jb' चाइल्ड प्रक्रिया के JSON आउटपुट में एक 'update_event' कुंजी शामिल करेगा, जिसमें पैरेंट इवेंट को संशोधित करने के लिए आवश्यक पैरामीटर होंगे। प्राधिकरण जांच की कमी के कारण, सर्वर इन संशोधनों को सीधे लागू करेगा। शोषण की आसानी JSON हेरफेर की सादगी और उचित एक्सेस नियंत्रण की कमी में निहित है। यदि कम विशेषाधिकार वाले उपयोगकर्ताओं के पास इवेंट बनाने और चलाने की क्षमता है, तो शोषण की संभावना अधिक है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
इस भेद्यता को ठीक करने का तरीका Cronicle को संस्करण 0.9.111 या उच्चतर में अपग्रेड करना है। यह संस्करण इवेंट कॉन्फ़िगरेशन के अनधिकृत संशोधन को रोकने के लिए एक प्राधिकरण जांच पेश करता है। शोषण के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, अपडेट से पहले इवेंट कॉन्फ़िगरेशन की जांच करें ताकि यह सुनिश्चित हो सके कि उन्हें दुर्भावनापूर्ण तरीके से संशोधित नहीं किया गया है। Cronicle लॉग की निगरानी संदिग्ध गतिविधि के लिए भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकती है। Cronicle उपयोगकर्ताओं के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना एक सामान्य सुरक्षा सर्वोत्तम अभ्यास है।
Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en la aplicación de actualizaciones de eventos, previniendo la escalada de privilegios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Cronicle एक वेब-आधारित फ्रंटएंड UI के साथ एक मल्टी-सर्वर टास्क शेड्यूलर और रनर है।
संस्करण 0.9.111 CVE-2026-39401 भेद्यता को ठीक करता है, जो अनधिकृत उपयोगकर्ताओं को इवेंट कॉन्फ़िगरेशन को संशोधित करने की अनुमति देता है।
अगर आप तुरंत अपग्रेड नहीं कर सकते हैं, तो विश्वसनीय उपयोगकर्ताओं को इवेंट बनाने और चलाने की पहुंच को प्रतिबंधित करने पर विचार करें।
इवेंट कॉन्फ़िगरेशन, विशेष रूप से वेबहुक URL और अधिसूचना ईमेल पतों में अप्रत्याशित परिवर्तनों के लिए Cronicle लॉग की जांच करें।
वर्तमान में कोई विशिष्ट उपकरण नहीं हैं, लेकिन इवेंट कॉन्फ़िगरेशन का मैन्युअल ऑडिट सबसे अच्छा तरीका है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।