प्लेटफ़ॉर्म
linux
घटक
libfido2
में ठीक किया गया
1.17.0
CVE-2026-40947 libfido2 लाइब्रेरी में एक सुरक्षा भेद्यता है जो DLL खोज पथ के साथ छेड़छाड़ की अनुमति देती है। इस भेद्यता का शोषण करने से एक हमलावर संभावित रूप से दुर्भावनापूर्ण कोड निष्पादित कर सकता है। यह भेद्यता libfido2 के 0.0.0 से 5.9.1 तक के संस्करणों, python-fido2 के कुछ संस्करणों और yubikey-manager के 5.9.1 से पहले के संस्करणों को प्रभावित करती है। संस्करण 5.9.1 में इस समस्या का समाधान किया गया है।
CVE-2026-40947 libfido2, python-fido2, और yubikey-manager लाइब्रेरीज़ को संस्करण 1.17.0, 2.2.0 और 5.9.1 से पहले प्रभावित करता है, क्रमशः। समस्या एक अनपेक्षित DLL खोज पथ में निहित है। यह एक हमलावर को उन वातावरणों में साझा लाइब्रेरीज़ (DLL) के लोडिंग में हेरफेर करने की अनुमति दे सकता है जहां ये लाइब्रेरीज़ उपयोग की जाती हैं। एक हमलावर वैध लाइब्रेरी के बजाय एक दुर्भावनापूर्ण DLL लोड कर सकता है, जिससे प्रभावित प्रक्रिया के विशेषाधिकारों के साथ मनमाना कोड निष्पादित हो सकता है। इस भेद्यता की गंभीरता बड़े पैमाने पर तैनाती संदर्भ और इन लाइब्रेरीज़ का उपयोग करने वाली प्रक्रिया के विशेषाधिकारों पर निर्भर करती है। सफल शोषण के लिए हमलावर को रनटाइम वातावरण को नियंत्रित करने और DLL खोज पथ को प्रभावित करने में सक्षम होना चाहिए।
CVE-2026-40947 का शोषण करने के लिए, एक ऐसे वातावरण की आवश्यकता होती है जहां हमलावर DLL खोज पथ को नियंत्रित या प्रभावित कर सके। यह उन प्रणालियों में अधिक संभावित है जहां प्रभावित लाइब्रेरीज़ को उन्नत विशेषाधिकारों वाले अनुप्रयोगों में उपयोग किया जाता है या अविश्वसनीय वातावरण में चलाया जाता है। एक हमलावर DLL का उपयोग करने वाली लाइब्रेरी के निष्पादन से पहले DLL खोज पथ पर स्थित स्थान पर एक दुर्भावनापूर्ण DLL रख सकता है। दुर्भावनापूर्ण DLL को तब वैध लाइब्रेरी के बजाय लोड किया जा सकता है, जिससे हमलावर को मनमाना कोड निष्पादित करने की अनुमति मिलती है। शोषण की कठिनाई सिस्टम कॉन्फ़िगरेशन और लागू सुरक्षा उपायों पर निर्भर करती है।
Systems utilizing older versions of libfido2, python-fido2, or yubikey-manager are at risk. This includes environments where these libraries are used in automated build processes or where directory permissions are not strictly enforced. Shared hosting environments where multiple users have write access to common directories are particularly vulnerable.
• linux / server:
find /usr/lib/x86_64-linux-gnu/ -name '*.so' -type f -print0 | xargs -0 ls -l | grep libfido2• linux / server:
journalctl -f | grep "libfido2"• linux / server:
lsof -i :22 | grep libfido2disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40947 के लिए प्राथमिक शमन प्रभावित लाइब्रेरीज़ को पैच किए गए संस्करणों में अपडेट करना है: libfido2 1.17.0 या बाद का, python-fido2 2.2.0 या बाद का, और yubikey-manager 5.9.1 या बाद का। ये अपडेट अनपेक्षित DLL खोज पथ को हटा देते हैं, जिससे दुर्भावनापूर्ण लाइब्रेरी लोडिंग की संभावना रुक जाती है। इसके अतिरिक्त, साझा लाइब्रेरी हैंडलिंग के लिए मानक सुरक्षा प्रथाओं को लागू करने की सिफारिश की जाती है, जैसे कि DLL युक्त निर्देशिकाओं तक पहुंच को प्रतिबंधित करने के लिए एक्सेस कंट्रोल लिस्ट (ACL) का उपयोग करना। सिस्टम लॉग की निगरानी से लाइब्रेरी लोडिंग से संबंधित असामान्य गतिविधि का पता लगाने और प्रतिक्रिया करने में भी मदद मिल सकती है। इन सुरक्षा उपायों को लागू करने से इस भेद्यता से जुड़े जोखिम को काफी कम किया जा सकता है।
Actualice la biblioteca libfido2 a la versión 1.17.0 o superior para mitigar el riesgo de vulnerabilidad en la ruta de búsqueda de DLL. Verifique las instrucciones de actualización específicas proporcionadas por Yubico en su aviso de seguridad (https://www.yubico.com/support/security-advisories/ysa-2026-01/). Asegúrese de actualizar también las dependencias relacionadas, como python-fido2 y yubikey-manager a sus versiones corregidas (2.2.0 y 5.9.1 respectivamente).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
DLL (Dynamic Link Library) एक कोड लाइब्रेरी है जिसका उपयोग एक साथ कई प्रोग्राम द्वारा किया जा सकता है। इसमें फ़ंक्शन और संसाधन शामिल हैं जिन्हें अन्य एप्लिकेशन द्वारा कॉल किया जा सकता है।
DLL खोज पथ उन निर्देशिकाओं की सूची है जिसकी जांच एप्लिकेशन को DLL लोड करने की आवश्यकता होने पर ऑपरेटिंग सिस्टम करता है। यदि एक ही नाम के DLL कई निर्देशिकाओं में पाए जाते हैं, तो ऑपरेटिंग सिस्टम पथ में पहला खोजेगा उसे लोड करेगा।
आप कमांड लाइन पर libfido2-cli --version कमांड चलाकर अपने libfido2 संस्करण की जांच कर सकते हैं।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो DLL युक्त निर्देशिकाओं तक पहुंच को प्रतिबंधित करने और सिस्टम लॉग की निगरानी करने जैसे शमन उपायों को लागू करने पर विचार करें।
ज़रूरी नहीं। यह भेद्यता केवल उन लोगों को प्रभावित करती है जो सीधे इन भेद्य लाइब्रेरीज़ का उपयोग करते हैं या उन अनुप्रयोगों के माध्यम से जो उनका उपयोग करते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।