प्लेटफ़ॉर्म
java
घटक
fedml
में ठीक किया गया
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
CVE-2026-5535 FedML-AI FedML के 0.8.0 से 0.8.9 तक के संस्करणों में पाई गई एक सुरक्षा भेद्यता है। यह भेद्यता MQTT Message Handler के FileUtils.java फ़ंक्शन में एक पाथ ट्रैवर्सल त्रुटि के कारण होती है, जिससे हमलावर सिस्टम फ़ाइलों तक पहुंच प्राप्त कर सकते हैं। भेद्यता सार्वजनिक रूप से ज्ञात है और इसका उपयोग हमलों के लिए किया जा सकता है। वर्तमान में, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
FedML-AI FedML के संस्करण 0.8.9 और उससे पहले में एक पथ पारगमन (path traversal) भेद्यता (vulnerability) पाई गई है। यह भेद्यता MQTT Message Handler घटक में FileUtils.java फ़ाइल में एक अज्ञात फ़ंक्शन को प्रभावित करती है। एक हमलावर 'dataSet' तर्क के डेटा में हेरफेर करके इस भेद्यता का फायदा उठा सकता है, जिससे वह इच्छित दायरे से बाहर की फ़ाइलों और निर्देशिकाओं तक पहुँचने में सक्षम हो सकता है। इसकी दूरस्थ रूप से शोषण करने की क्षमता के कारण इस भेद्यता को उच्च गंभीरता (high severity) के रूप में वर्गीकृत किया गया है। एक शोषण (exploit) के सार्वजनिक प्रकाशन से हमलों का जोखिम काफी बढ़ जाता है। विक्रेता (vendor) को इस प्रकटीकरण (disclosure) के बारे में जल्दी सूचित किया गया था, लेकिन उन्होंने कोई प्रतिक्रिया नहीं दी है, जिससे शमन (mitigation) के प्रयास बाधित हो रहे हैं।
यह भेद्यता MQTT Message Handler घटक में FileUtils.java फ़ाइल में 'dataSet' तर्क में हेरफेर करके शोषण की जाती है। सार्वजनिक रूप से उपलब्ध शोषण एक दूरस्थ हमलावर को अंतर्निहित फ़ाइल सिस्टम पर मनमाना फ़ाइलों तक पहुंचने की अनुमति देता है। यह उपयोगकर्ता इनपुट सत्यापन की कमी के कारण है। शोषण की दूरस्थ प्रकृति का मतलब है कि हमलावर को सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण की सार्वजनिक उपलब्धता शोषण प्रयासों की संभावना को बढ़ाती है। विक्रेता की प्रतिक्रिया की कमी स्थिति को बढ़ा देती है, क्योंकि कोई आधिकारिक फिक्स उपलब्ध नहीं है।
Organizations utilizing FedML for machine learning or data processing, particularly those deploying it in cloud environments or shared hosting setups, are at significant risk. Environments with weak input validation or inadequate network segmentation are especially vulnerable.
• java / server:
find /path/to/fedml/ -name "FileUtils.java"• java / server:
ps aux | grep -i "FedML"• generic web:
curl -I http://your-fedml-server/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
विक्रेता की प्रतिक्रिया की कमी को देखते हुए, तत्काल शमन (mitigation) मुश्किल है। मुख्य सिफारिश FedML-AI के पैच किए गए संस्करण में अपग्रेड करना है, जैसे ही यह उपलब्ध हो। इस बीच, FedML-AI को होस्ट करने वाले सर्वर पर सख्त पहुंच नियंत्रण लागू करें ताकि संवेदनशील फ़ाइलों तक पहुंच को सीमित किया जा सके। फ़ाइल हैंडलिंग से संबंधित संदिग्ध गतिविधि के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करें। नेटवर्क विभाजन (segmentation) FedML-AI सिस्टम को अन्य महत्वपूर्ण संसाधनों से अलग कर सकता है। विक्रेता की चुप्पी (silence) मजबूत घटना प्रतिक्रिया योजनाओं के महत्व पर प्रकाश डालती है।
Actualice a una versión corregida de FedML que solucione la vulnerabilidad de recorrido de directorios en el manejo de mensajes MQTT. Consulte la documentación del proveedor o los registros de cambios para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
'पथ पारगमन' एक भेद्यता है जो एक हमलावर को फ़ाइल पथ में '..' जैसे अनुक्रमों का उपयोग करके इच्छित दायरे से बाहर की फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देती है।
सख्त पहुंच नियंत्रण लागू करें, सिस्टम लॉग की निगरानी करें और नेटवर्क विभाजन पर विचार करें।
विक्रेता की प्रतिक्रिया की कमी चिंताजनक है और भेद्यता को कम करने में बाधा डालती है। अपनी चिंताओं को व्यक्त करने के लिए सीधे विक्रेता से संपर्क करने पर विचार करें।
हाँ, शोषण की सार्वजनिक उपलब्धता से पता चलता है कि यह अपेक्षाकृत आसानी से शोषण की जा सकती है।
FedML-AI के संस्करण 0.8.9 और उससे पहले को चलाने वाला कोई भी सिस्टम भेद्य है। प्रभावित उदाहरणों की पहचान करने के लिए अपने बुनियादी ढांचे का आकलन करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।