प्लेटफ़ॉर्म
cpp
घटक
heriklyma-cppwebframework
में ठीक किया गया
3.0.1
3.1.1
CVE-2026-5638 HerikLyma CPPWebFramework के संस्करण 3.0.0 से 3.1 तक में पाई गई एक Path Traversal भेद्यता है। इस भेद्यता का शोषण करने से हमलावर सिस्टम पर अनधिकृत फ़ाइलों तक पहुंच प्राप्त कर सकते हैं, जिससे डेटा का संभावित जोखिम हो सकता है। परियोजना को समस्या के बारे में सूचित किया गया था, लेकिन अभी तक कोई प्रतिक्रिया नहीं मिली है। फिलहाल, कोई आधिकारिक पैच उपलब्ध नहीं है।
HerikLyma CPPWebFramework के संस्करण 3.1 और उससे पहले में एक पथ पारगमन भेद्यता (Path Traversal Vulnerability) की पहचान की गई है। यह सुरक्षा दोष एक हमलावर को एप्लिकेशन के इच्छित रूट निर्देशिका के बाहर संवेदनशील फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देता है। भेद्यता फ्रेमवर्क के भीतर एक अज्ञात प्रसंस्करण में मौजूद है, और इनपुट में हेरफेर इसे शोषण कर सकता है। जोखिम महत्वपूर्ण है क्योंकि शोषण दूरस्थ है और शोषण सार्वजनिक रूप से उपलब्ध है, जिससे दुर्भावनापूर्ण अभिनेताओं के लिए इसका उपयोग करना आसान हो जाता है। डेवलपर की प्रतिक्रिया की कमी से स्थिति बढ़ जाती है, जिससे उपयोगकर्ताओं के पास कोई आधिकारिक समाधान नहीं होता है। अपडेट जारी होने तक सक्रिय निवारक उपाय करना महत्वपूर्ण है।
CPPWebFramework में पथ पारगमन भेद्यता एक दूरस्थ हमलावर को एप्लिकेशन को चलाने वाले वेब सर्वर पर फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देती है। सार्वजनिक रूप से उपलब्ध शोषण हमले की प्रक्रिया को सरल करता है, जिससे सीमित तकनीकी ज्ञान वाले उपयोगकर्ताओं को भेद्यता का शोषण करने की अनुमति मिलती है। एक हमलावर एप्लिकेशन इनपुट में हेरफेर कर सकता है ताकि विशेष वर्ण (जैसे “..” या पूर्ण पथ) शामिल किए जा सकें, जिससे उन्हें इच्छित रूट निर्देशिका के बाहर नेविगेट करने और गोपनीय फ़ाइलों, जैसे कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस या स्रोत कोड तक पहुंचने की अनुमति मिलती है। उपयोगकर्ता इनपुट का पर्याप्त सत्यापन की कमी इस भेद्यता का मुख्य कारण है। शोषण की सार्वजनिक उपलब्धता हमलों के जोखिम को काफी बढ़ा देती है।
Organizations deploying HerikLyma CPPWebFramework versions 3.0.0–3.1, particularly those with sensitive data stored on the server or integrated with other systems, are at risk. Shared hosting environments utilizing this framework are also particularly vulnerable due to the potential for cross-tenant exploitation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि CPPWebFramework डेवलपर ने कोई आधिकारिक समाधान प्रदान नहीं किया है, इसलिए तत्काल शमन उपायों को दृढ़ता से अनुशंसित किया जाता है। इनमें अधिकृत उपयोगकर्ताओं को एप्लिकेशन तक पहुंच को प्रतिबंधित करना, शोषण प्रयासों की निगरानी और अवरुद्ध करने के लिए फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम को लागू करना और दुर्भावनापूर्ण कमांड इंजेक्शन को रोकने के लिए किसी भी उपयोगकर्ता इनपुट की सावधानीपूर्वक समीक्षा करना शामिल है। इसके अतिरिक्त, बेहतर सुरक्षा प्रदान करने वाले वैकल्पिक वेब फ्रेमवर्क का उपयोग करने पर विचार करें। इस भेद्यता पर सुरक्षा सूचना स्रोतों की सक्रिय रूप से निगरानी करना और संभावित समाधान प्राप्त करना आवश्यक है। 'न्यूनतम विशेषाधिकार' के सिद्धांत को लागू करना महत्वपूर्ण है।
Se recomienda contactar al proveedor (HerikLyma) para obtener una actualización o parche que solucione la vulnerabilidad de path traversal. Dado que el proveedor no ha respondido, se sugiere evitar el uso de esta versión hasta que se publique una solución oficial. Implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario, puede mitigar el riesgo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक भेद्यता है जो एक हमलावर को इच्छित निर्देशिका के बाहर फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देती है।
इसका मतलब है कि भेद्यता का शोषण करने के लिए कोड ऑनलाइन उपलब्ध है, जिससे हमलावरों के लिए इसका उपयोग करना आसान हो जाता है।
तत्काल शमन उपाय लागू करें और अपडेट के लिए सुरक्षा सूचना स्रोतों की निगरानी करें।
अभी तक, डेवलपर से कोई प्रतिक्रिया नहीं मिली है।
पहुंच को प्रतिबंधित करें, फ़ायरवॉल लागू करें, उपयोगकर्ता इनपुट की समीक्षा करें और अधिक सुरक्षित वेब फ्रेमवर्क पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।