प्लेटफ़ॉर्म
nodejs
घटक
pi-mono
में ठीक किया गया
0.58.1
0.58.2
0.58.3
0.58.4
0.58.5
badlogic pi-mono के संस्करण 0.58.0 से 0.58.4 में एक सुरक्षा भेद्यता पाई गई है। यह भेद्यता फ़ाइल पैकेज/कोडिंग-एजेंट/src/core/extensions/loader.ts में discoverAndLoadExtensions फ़ंक्शन को प्रभावित करती है, जिससे हमलावर कोड इंजेक्शन कर सकते हैं। यह भेद्यता सार्वजनिक रूप से उजागर हो गई है और इसका दूरस्थ रूप से शोषण किया जा सकता है। वर्तमान में, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
badlogic pi-mono के संस्करण 0.58.4 और उससे पहले में एक कोड इंजेक्शन भेद्यता का पता चला है। यह भेद्यता फ़ाइल packages/coding-agent/src/core/extensions/loader.ts में discoverAndLoadExtensions फ़ंक्शन में मौजूद है। एक हमलावर इस फ़ंक्शन में हेरफेर करके सिस्टम में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। रिमोट एक्सप्लॉइटेशन संभव है, जिसका अर्थ है कि एक हमलावर प्रभावित सिस्टम तक भौतिक पहुंच के बिना इस भेद्यता का फायदा उठा सकता है। एक्सप्लॉइट का सार्वजनिक प्रकटीकरण जोखिम को काफी बढ़ाता है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं द्वारा इसके उपयोग को सुविधाजनक बनाता है। प्रारंभिक सूचनाओं पर विक्रेता की प्रतिक्रिया की कमी से स्थिति और खराब हो गई है, जिससे उपयोगकर्ताओं के पास आधिकारिक समाधान या संभावित पैच या शमन उपायों के बारे में जानकारी नहीं है। यह भेद्यता एक हमलावर को सिस्टम की गोपनीयता, अखंडता और उपलब्धता से समझौता करने की अनुमति दे सकती है।
एक्सप्लॉइट को सार्वजनिक रूप से प्रकटीकरण किया गया है, जिसका अर्थ है कि भेद्यता का फायदा उठाने के लिए आवश्यक जानकारी व्यापक दर्शकों के लिए उपलब्ध है। यह हमलों के जोखिम को काफी बढ़ाता है, क्योंकि हमलावर उपलब्ध जानकारी का उपयोग करके अधिक तेज़ी से और कुशलता से एक्सप्लॉइट विकसित और तैनात कर सकते हैं। भेद्यता discoverAndLoadExtensions फ़ंक्शन में मौजूद है, जो बताता है कि हमलावर इसे एक्सटेंशन फ़ाइलों में हेरफेर करके या एक्सटेंशन लोडिंग प्रक्रिया में दुर्भावनापूर्ण कोड इंजेक्ट करके शोषण कर सकते हैं। विक्रेता की प्रतिक्रिया की कमी सुरक्षा के प्रति प्रतिबद्धता की कमी का संकेत देती है, जिससे हमलों के प्रति अधिक जोखिम हो सकता है। शोषण की रिमोट प्रकृति का मतलब है कि हमलावर दुनिया में कहीं से भी हमले शुरू कर सकते हैं, जिससे पता लगाना और रोकना अधिक कठिन हो जाता है।
Applications and services built using the pi-mono Node.js package, particularly those handling untrusted input, are at risk. This includes web applications, backend APIs, and any Node.js-based tools that rely on pi-mono for extension loading. Developers using pi-mono in their projects and DevOps teams responsible for managing Node.js deployments are also at risk.
• nodejs / server:
find / -name 'packages/coding-agent/src/core/extensions/loader.ts' -print0 | xargs -0 grep -i 'discoverAndLoadExtensions'• nodejs / server:
npm list pi-mono | grep '0.58.0-0.58.4'• nodejs / server:
journalctl -u your-node-app -g 'pi-mono' --since "1 hour ago"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CISA SSVC
CVSS वेक्टर
विक्रेता द्वारा समाधान की कमी को देखते हुए, एक पैच संस्करण जारी होने तक pi-mono का उपयोग करने से दृढ़ता से बचने की सिफारिश की जाती है। यदि pi-mono का उपयोग करना पूरी तरह से आवश्यक है, तो अस्थायी शमन उपायों को लागू किया जाना चाहिए। इनमें discoverAndLoadExtensions फ़ंक्शन तक पहुंच को प्रतिबंधित करना, इस फ़ंक्शन को प्रदान किए गए सभी इनपुट को सख्ती से मान्य करना और दुर्भावनापूर्ण गतिविधि के संकेतों के लिए सिस्टम की लगातार निगरानी करना शामिल हो सकता है। नेटवर्क विभाजन और न्यूनतम विशेषाधिकार के सिद्धांत भी संभावित शोषण के प्रभाव को सीमित करने में मदद कर सकते हैं। pi-mono से संबंधित किसी भी सुरक्षा अपडेट के बारे में हमेशा सूचित रहना और उपलब्ध होने पर किसी भी पैच को तुरंत लागू करना महत्वपूर्ण है। विक्रेता की प्रतिक्रिया की कमी इस भेद्यता के प्रबंधन में एक सक्रिय दृष्टिकोण की आवश्यकता होती है।
पैकेज (pi-mono) को एक ठीक किए गए संस्करण में अपडेट करें। ठीक किए गए संस्करणों और अपडेट निर्देशों के बारे में अधिक जानकारी के लिए विक्रेता के स्रोतों से परामर्श लें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
कोड इंजेक्शन एक प्रकार की भेद्यता है जो एक हमलावर को सिस्टम में दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है, जिसे तब वैध कोड के हिस्से के रूप में निष्पादित किया जाता है।
एक पैच संस्करण जारी होने तक pi-mono का उपयोग करने से दृढ़ता से बचने की सिफारिश की जाती है। यदि उपयोग आवश्यक है, तो सुझाए गए शमन उपायों को लागू करें।
विक्रेता की प्रतिक्रिया की कमी चिंताजनक है और उपयोगकर्ताओं को आधिकारिक समाधान के बिना छोड़ देती है। स्थिति पर बारीकी से नज़र रखने की सिफारिश की जाती है।
अज्ञात प्रक्रियाओं, अप्रत्याशित रूप से संशोधित फ़ाइलों या संदिग्ध नेटवर्क ट्रैफ़िक जैसी असामान्य गतिविधि के लिए अपने सिस्टम की निगरानी करें।
हालांकि इस भेद्यता के लिए कोई विशिष्ट उपकरण नहीं हैं, लेकिन फ़ायरवॉल, घुसपैठ का पता लगाने वाले सिस्टम और एंटीवायरस सॉफ़्टवेयर जैसे मानक सुरक्षा उपकरण आपके सिस्टम की सुरक्षा में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।