प्लेटफ़ॉर्म
nodejs
घटक
@nor2/heim-mcp
में ठीक किया गया
0.1.1
0.1.2
0.1.3
0.1.4
0.1.4
CVE-2026-5602 Nor2-io heim-mcp के 0.1.0 से 0.1.3 संस्करणों में एक कमांड इंजेक्शन भेद्यता है। इस भेद्यता का शोषण करने से हमलावर OS कमांड निष्पादित कर सकते हैं, जिससे संभावित रूप से सिस्टम पर अनधिकृत पहुंच और नियंत्रण हो सकता है। यह भेद्यता heim-mcp के src/tools.ts फ़ाइल में registerTools फ़ंक्शन को प्रभावित करती है। 0.1.4 संस्करण में इस समस्या का समाधान किया गया है।
Nor2-io के heim-mcp लाइब्रेरी में एक कमांड इंजेक्शन भेद्यता (vulnerability) की पहचान की गई है, जो संस्करण 0.1.3 तक के संस्करणों को प्रभावित करती है। यह भेद्यता newheimapplication/deployheimapplication/deployheimapplicationtocloud घटक के भीतर src/tools.ts फ़ाइल में registerTools फ़ंक्शन के भीतर मौजूद है। एक स्थानीय हमलावर इस कमजोरी का फायदा उठाकर मनमाना ऑपरेटिंग सिस्टम कमांड निष्पादित कर सकता है, जिससे संभावित रूप से डेटा की गोपनीयता और अखंडता से समझौता हो सकता है। इस भेद्यता की गंभीरता को CVSS 5.3 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है। भेद्यता का सार्वजनिक प्रकटीकरण शोषण के जोखिम को बढ़ाता है।
इस भेद्यता का शोषण करने के लिए प्रभावित सिस्टम तक स्थानीय पहुंच की आवश्यकता होती है। इसका मतलब है कि एक हमलावर को सिस्टम पर कोड निष्पादित करने में सक्षम होना चाहिए, इससे पहले कि वह registerTools में कमजोरी का फायदा उठा सके। भेद्यता का सार्वजनिक प्रकटीकरण का मतलब है कि हमलावरों के पास यह जानकारी हो सकती है कि इसका फायदा कैसे उठाया जाए, जिससे लक्षित हमलों का जोखिम बढ़ जाता है। प्रभावित सिस्टम को संदिग्ध गतिविधि के संकेतों के लिए मॉनिटर करने की अनुशंसा की जाती है।
एक्सप्लॉइट स्थिति
EPSS
0.08% (24% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, heim-mcp को संस्करण 0.1.4 या बाद के संस्करण में अपडेट करने की पुरजोर अनुशंसा की जाती है। इस संस्करण में एक पैच शामिल है, जिसकी पहचान c321d8af25f77668781e6ccb43a1336f9185df37 हैश द्वारा की जाती है, जो कमांड इंजेक्शन मुद्दे को संबोधित करता है। इस पैच को लागू करना इस खतरे से खुद को बचाने का सबसे प्रभावी तरीका है। विक्रेता से संपर्क किया गया है और आवश्यकतानुसार अतिरिक्त जानकारी और तकनीकी सहायता प्रदान करने की उम्मीद है। स्थापना से पहले डाउनलोड किए गए पैच की अखंडता को सत्यापित करें।
Actualice a la versión 0.1.4 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la función registerTools en el archivo src/tools.ts, eliminando la posibilidad de ejecución de comandos arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक भेद्यता है जो एक हमलावर को कमजोर एप्लिकेशन के माध्यम से अंतर्निहित ऑपरेटिंग सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देती है।
इसका मतलब है कि हमलावर को प्रभावित सिस्टम पर सीधे कोड निष्पादित करने में सक्षम होना चाहिए।
अपडेट किया गया संस्करण (0.1.4 या बाद का संस्करण) Nor2-io के आधिकारिक रिपॉजिटरी से उपलब्ध होना चाहिए।
यदि तत्काल अपडेट संभव नहीं है, तो अतिरिक्त सुरक्षा उपाय लागू करें, जैसे कि सिस्टम तक स्थानीय पहुंच को प्रतिबंधित करना और संदिग्ध गतिविधि की निगरानी करना।
अतिरिक्त तकनीकी सहायता के लिए आप विक्रेता Nor2-io से संपर्क कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।