प्लेटफ़ॉर्म
nodejs
घटक
trek-travel-planner
में ठीक किया गया
2.7.3
TREK, एक सहयोगी यात्रा योजनाकार में, Immich यात्रा फोटो प्रबंधन मार्गों पर प्राधिकरण जांच की कमी की एक असुरक्षा पाई गई है। यह भेद्यता TREK के संस्करण 1.0.0 से लेकर 2.7.2 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को TREK संस्करण 2.7.2 में ठीक किया गया है।
TREK (सहयोगात्मक यात्रा योजनाकार) में CVE-2026-40185 अनधिकृत उपयोगकर्ताओं को Immich में यात्रा फोटो प्रबंधन तक पहुंचने और संभावित रूप से हेरफेर करने की अनुमति देता है। Immich यात्रा फोटो प्रबंधन मार्गों पर उचित प्राधिकरण जांचों की कमी के कारण, एक हमलावर सैद्धांतिक रूप से अन्य उपयोगकर्ताओं की तस्वीरें अपलोड, हटा या संशोधित कर सकता है। CVSS स्कोर 7.1 है, जो मध्यम जोखिम दर्शाता है। यह भेद्यता उन TREK उपयोगकर्ताओं के डेटा की गोपनीयता और अखंडता से समझौता कर सकती है जो Immich एकीकरण का उपयोग करते हैं।
इस भेद्यता का शोषण करने के लिए TREK API तक पहुंच और इसके साथ इंटरैक्ट करने के तरीके की बुनियादी समझ की आवश्यकता होती है। एक हमलावर curl या Postman जैसे टूल का उपयोग करके फोटो प्रबंधन मार्गों पर दुर्भावनापूर्ण अनुरोध भेज सकता है, जिससे छूटे हुए प्राधिकरण जांच को दरकिनार किया जा सके। शोषण की कठिनाई नेटवर्क कॉन्फ़िगरेशन और लागू सुरक्षा उपायों पर निर्भर करती है। हालांकि, जंगली में सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन अगर इसे संबोधित नहीं किया गया तो यह भेद्यता एक महत्वपूर्ण जोखिम पैदा करती है।
Organizations and individuals utilizing TREK Travel Planner for collaborative travel planning are at risk, particularly those running versions 1.0.0 through 2.7.2. Shared hosting environments where multiple users share the same TREK Travel Planner instance are also at increased risk, as a compromised account could potentially expose data for other users.
• nodejs / server:
journalctl -u trek-travel-planner | grep -i "authorization bypass"• generic web:
curl -I https://<trek-travel-planner-url>/immich/trip-photos/ # Check for 200 OK without authenticationdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता का समाधान TREK को संस्करण 2.7.2 या उच्चतर में अपडेट करना है। इस संस्करण में आवश्यक प्राधिकरण सुधार शामिल हैं ताकि Immich फोटो प्रबंधन कार्यों तक अनधिकृत पहुंच को रोका जा सके। TREK उपयोगकर्ताओं को शोषण के जोखिम को कम करने के लिए जल्द से जल्द अपने इंस्टॉलेशन को अपडेट करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, यात्रा की तस्वीरों तक पहुंच को Immich में समीक्षा करें ताकि यह सुनिश्चित हो सके कि केवल अधिकृत उपयोगकर्ताओं के पास पहुंच है। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करें।
Actualice TREK a la versión 2.7.2 o superior para mitigar la vulnerabilidad de autorización. Esta actualización implementa las verificaciones de autorización necesarias en las rutas de gestión de fotos de Immich, previniendo el acceso no autorizado a los datos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
TREK एक सहयोगात्मक यात्रा योजनाकार है जो उपयोगकर्ताओं को अपनी यात्रा योजनाओं को व्यवस्थित और साझा करने की अनुमति देता है।
Immich एक स्व-होस्टेड फोटो प्रबंधन एप्लिकेशन है।
TREK के आधिकारिक दस्तावेज़ देखें कि संस्करण 2.7.2 या उच्चतर में कैसे अपडेट करें।
TREK API तक पहुंच को प्रतिबंधित करें और Immich एक्सेस अनुमतियों की समीक्षा करें।
जंगली में सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन जोखिम को कम करने के लिए अपडेट करने की अनुशंसा की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।