प्लेटफ़ॉर्म
linux
घटक
anviz-cx7-firmware
Anviz CX2 Lite और CX7 फ़र्मवेयर में एक भेद्यता पाई गई है जो अनधिकृत POST अनुरोधों को स्वीकार करता है। ये अनुरोध डिबग सेटिंग्स को संशोधित कर सकते हैं, जैसे कि SSH को सक्षम करना, जिससे अनधिकृत राज्य परिवर्तन हो सकते हैं। यह भेद्यता संस्करण 1.0.0 और सभी संबंधित संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए नवीनतम संस्करण में अपग्रेड करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को अनधिकृत रूप से सिस्टम की डिबग सेटिंग्स को बदलने की अनुमति देती है। उदाहरण के लिए, वे SSH को सक्षम कर सकते हैं, जिससे वे नेटवर्क पर डिवाइस तक पहुंच प्राप्त कर सकते हैं। एक बार जब हमलावर डिवाइस तक पहुंच प्राप्त कर लेता है, तो वे संवेदनशील डेटा चुरा सकते हैं, सिस्टम को नियंत्रित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण किया जा सकता है, जिससे यह हमलावरों के लिए शोषण करना आसान हो जाता है। इस भेद्यता का शोषण करने से डिवाइस की सुरक्षा से समझौता हो सकता है और डेटा उल्लंघन हो सकता है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता और प्रमाणीकरण की आवश्यकता की कमी के कारण इसका शोषण किया जा सकता है। यह KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, और EPSS (Exploit Prediction Score System) स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो 2026-04-17 को प्रकाशित हुई थी।
Organizations deploying Anviz CX7 devices in environments with limited network segmentation are at increased risk. Shared hosting environments where multiple CX7 devices reside on the same network are particularly vulnerable, as an attacker could potentially pivot from one device to another. Legacy deployments with outdated firmware configurations are also at higher risk.
• linux / server:
journalctl -u anviz-cx7 | grep -i "debug settings"• linux / server:
lsof -i :8080 | grep anviz• generic web: Use curl to test the /debug endpoint for authentication requirements:
curl -X POST http://<CX7_IP>/debug -d "setting=value"• generic web: Check access logs for POST requests to /debug or similar endpoints from unexpected IP addresses.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Anviz CX2 Lite और CX7 फ़र्मवेयर को नवीनतम संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों को कॉन्फ़िगर किया जा सकता है ताकि अनधिकृत POST अनुरोधों को डिवाइस तक पहुंचने से रोका जा सके। इसके अतिरिक्त, डिवाइस पर डिबग सुविधाओं को अक्षम करने पर विचार किया जाना चाहिए जब तक कि उनकी आवश्यकता न हो। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी संभावित कमजोरियों की पहचान करने और उन्हें कम करने में मदद कर सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, सिस्टम लॉग की जांच करें और डिबग सेटिंग्स को सत्यापित करें।
Anviz CX7 डिवाइस के फ़र्मवेयर को निर्माता द्वारा प्रदान किए गए नवीनतम संस्करण में अपडेट करें। डिवाइस की सुरक्षा कॉन्फ़िगरेशन की जांच करें, और SSH जैसे अनावश्यक कार्यों को अक्षम करें यदि उनका उपयोग नहीं किया जा रहा है। डिवाइस कॉन्फ़िगरेशन तक पहुंच को प्रतिबंधित करने के लिए मजबूत एक्सेस नियंत्रण लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40461 Anviz CX2 Lite और CX7 फ़र्मवेयर में एक भेद्यता है जो हमलावरों को अनधिकृत POST अनुरोधों के माध्यम से डिबग सेटिंग्स को संशोधित करने की अनुमति देती है, जिससे अनधिकृत राज्य परिवर्तन हो सकते हैं।
यदि आप Anviz CX2 Lite या CX7 फ़र्मवेयर के संस्करण 1.0.0 या बाद के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Anviz CX2 Lite और CX7 फ़र्मवेयर को नवीनतम संस्करण में अपग्रेड करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता के कारण इसका शोषण किया जा सकता है।
कृपया Anviz की आधिकारिक वेबसाइट पर जाएँ या सुरक्षा अपडेट के लिए उनके सहायता चैनलों से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।