@google/clasp असुरक्षित पाथ ट्रावर्सल क्लोनिंग या पुल करने पर दुर्भावनापूर्ण स्क्रिप्ट के प्रति संवेदनशील

यह पथ पारगमन भेद्यता @google/clasp का उपयोग करने वाले डेवलपर्स के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। एक हमलावर इस भेद्यता का फायदा उठाकर प्रोजेक्ट निर्देशिका के बाहर फ़ाइलों को संशोधित कर सकता है। यह हमलावर को डेवलपर की मशीन पर दुर्भावनापूर्ण कोड चलाने की अनुमति दे सकता है, जिससे डेटा चोरी, सिस्टम समझौता या अन्य हानिकारक गतिविधियाँ हो सकती हैं। इस भेद्यता का उपयोग करने के लिए, हमलावर को @google/clasp के माध्यम से प्रोजेक्ट फ़ाइलों को खींचने या क्लोन करने के लिए प्रेरित करना होगा, जिसमें दुर्भावनापूर्ण फ़ाइलें शामिल हैं।

Developers using @google/clasp to develop Google Apps Script projects are at risk, particularly those who frequently clone or pull scripts from external sources or use older, unpatched versions of the library. Shared hosting environments where multiple developers use the same @google/clasp installation are also at increased risk.

• nodejs / clasp:

find / -name clasp.cmd -o -name clasp.sh -print0 | xargs -0 grep -i 'pull|clone' 

• nodejs / clasp: Check for unusual files or modifications within the Google Apps Script project directories after a pull or clone operation. • nodejs / clasp: Review the output of npm audit for vulnerabilities in dependencies used by the project.

1. 2026-03-13Disclosure

   disclosure

1. आरक्षित2026-03-12
2. प्रकाशित2026-03-13
3. संशोधित2026-03-16
4. EPSS अद्यतन2026-03-23

CVE-2026-4092 के प्रभाव को कम करने के लिए, @google/clasp को संस्करण 3.2.0 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो कुछ अस्थायी उपाय किए जा सकते हैं। केवल विश्वसनीय स्रोतों से स्क्रिप्ट को क्लोन या पुल करें। pull और clone कमांड के आउटपुट की समीक्षा करके सुनिश्चित करें कि केवल अपेक्षित प्रोजेक्ट फ़ाइलें ही संशोधित की जा रही हैं। इन उपायों को लागू करके, आप भेद्यता के शोषण के जोखिम को कम कर सकते हैं। अपग्रेड के बाद, सत्यापित करें कि भेद्यता ठीक हो गई है, @google/clasp के नवीनतम संस्करण का उपयोग करके और फ़ाइल सिस्टम तक अनधिकृत पहुंच के लिए जाँच करें।