प्लेटफ़ॉर्म
laravel
घटक
laravel/passport
में ठीक किया गया
13.0.1
13.7.1
CVE-2026-39976 Laravel Passport में प्रमाणीकरण बाईपास भेद्यता है। इस भेद्यता के कारण, मशीन-टू-मशीन टोकन अनजाने में किसी वास्तविक उपयोगकर्ता के रूप में प्रमाणित हो सकते हैं, जिससे अनधिकृत पहुंच हो सकती है। यह भेद्यता Laravel Passport के संस्करण 13.7.0 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को Laravel Passport के संस्करण 13.7.1 में ठीक कर दिया गया है।
यह भेद्यता हमलावर को किसी वास्तविक उपयोगकर्ता के रूप में प्रमाणित करने की अनुमति देती है, जिससे वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं और सिस्टम में अनधिकृत क्रियाएं कर सकते हैं। EnsureClientIsResourceOwner मिडलवेयर के साथ Passport::$clientUuids को false पर सेट करने पर यह जोखिम बढ़ जाता है, क्योंकि यह उपयोगकर्ता को हल करने का कारण बन सकता है। हमलावर OAuth2 सर्वर के माध्यम से प्रमाणीकरण को बाईपास कर सकते हैं, जिससे एप्लिकेशन की सुरक्षा से समझौता हो सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो मशीन-टू-मशीन प्रमाणीकरण पर निर्भर करते हैं और संवेदनशील डेटा तक पहुंच की आवश्यकता होती है।
यह भेद्यता 2026-04-08 को सार्वजनिक रूप से सामने आई। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। इस भेद्यता का मूल्यांकन उच्च जोखिम के रूप में किया गया है। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक उपलब्ध नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह जल्द ही उपलब्ध हो सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Laravel Passport को संस्करण 13.7.1 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो EnsureClientIsResourceOwner मिडलवेयर का उपयोग करें और Passport::$clientUuids को true पर सेट करें। इसके अतिरिक्त, OAuth2 टोकन के उपयोग की निगरानी करें और किसी भी संदिग्ध गतिविधि की जांच करें। WAF नियमों को लागू करें जो असामान्य प्रमाणीकरण अनुरोधों को ब्लॉक करते हैं। Laravel Passport के नवीनतम संस्करण में अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, टोकन पीढ़ी और प्रमाणीकरण प्रक्रियाओं का परीक्षण करें।
प्रमाणीकरण बाईपास भेद्यता को कम करने के लिए Laravel Passport को संस्करण 13.7.1 या उच्चतर में अपडेट करें। यह अपडेट client_credentials टोकन उत्पन्न करते समय उपयोगकर्ता पहचानकर्ताओं को सही ढंग से मान्य करके समस्या को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-39976 Laravel Passport में एक प्रमाणीकरण बाईपास भेद्यता है जो हमलावरों को वास्तविक उपयोगकर्ता के रूप में प्रमाणित करने की अनुमति देती है।
यदि आप Laravel Passport के संस्करण 13.7.0 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Laravel Passport को संस्करण 13.7.1 या उसके बाद के संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
आधिकारिक Laravel एडवाइजरी के लिए Laravel सुरक्षा वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।