प्लेटफ़ॉर्म
python
घटक
pytries
में ठीक किया गया
0.8.1
0.8.2
0.8.3
0.8.4
CVE-2026-5659 pytries डेटाट्री में एक असुरक्षित क्रमबद्धता भेद्यता है, जो 0.8.0 से 0.8.3 के संस्करणों को प्रभावित करती है। यह भेद्यता फ़ाइल हैंडलर घटक के Trie.load/Trie.read/Trie.setstate फ़ंक्शन में मौजूद है, जिससे हमलावर दूरस्थ रूप से डेटा को क्रमबद्ध कर सकते हैं। इस समस्या की परियोजना को पहले ही सूचित कर दिया गया है, लेकिन अभी तक कोई प्रतिक्रिया नहीं मिली है।
pytries datrie लाइब्रेरी के संस्करण 0.8.3 से पहले एक डिसेरिएलाइज़ेशन भेद्यता की पहचान की गई है। विशेष रूप से, फ़ाइल src/datrie.pyx में फ़ंक्शन Trie.load, Trie.read और Trie.setstate में भेद्यता है। एक दूरस्थ हमलावर इस भेद्यता का उपयोग सिस्टम पर मनमाना कोड निष्पादित करने के लिए कर सकता है, जिससे डेटा की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। एक सार्वजनिक रूप से उपलब्ध शोषण की उपस्थिति जोखिम को काफी बढ़ाती है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं द्वारा शोषण को सुविधाजनक बनाती है। परियोजना की प्रतिक्रिया की कमी स्थिति को बढ़ाती है, जिससे उपयोगकर्ताओं को अल्पकालिक रूप से कोई आधिकारिक समाधान नहीं मिलता है। संभावित हमलों को रोकने के लिए इस भेद्यता पर तत्काल ध्यान देने की आवश्यकता है।
भेद्यता का उपयोग Trie.load, Trie.read और Trie.setstate फ़ंक्शन में उपयोग किए जाने वाले डेटा में हेरफेर करके किया जाता है। सार्वजनिक रूप से उपलब्ध शोषण हमले की प्रक्रिया को सरल बनाता है, जिससे हमलावरों को Trie डेटा संरचनाओं को लोड या पढ़ने के दौरान दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति मिलती है। भेद्यता की दूरस्थ प्रकृति का मतलब है कि हमलावरों को प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं होती है, जिससे हमले का संभावित दायरा बढ़ जाता है। शोषण की सार्वजनिक घोषणा स्वचालित और लक्षित हमलों की संभावना को बढ़ाती है।
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि pytries परियोजना ने कोई आधिकारिक फिक्स प्रदान नहीं किया है, इसलिए तत्काल शमन में datrie के संस्करण 0.8.3 से पहले के उपयोग से बचना शामिल है। यदि लाइब्रेरी का उपयोग करना आवश्यक है, तो इनपुट डेटा सत्यापन और सैंडबॉक्स वातावरण में निष्पादन जैसे अतिरिक्त सुरक्षा नियंत्रणों को लागू करने की सिफारिश की जाती है। सिस्टम को शोषण के संकेतों के लिए सक्रिय रूप से मॉनिटर करना महत्वपूर्ण है। यदि भेद्यता अस्वीकार्य जोखिम पैदा करती है, तो datrie लाइब्रेरी के विकल्पों पर विचार करें। परियोजना द्वारा भविष्य में जारी किए जा सकने वाले किसी भी अपडेट या पैच के बारे में सूचित रहना महत्वपूर्ण है, हालांकि वर्तमान प्रतिक्रिया की कमी चिंताजनक है।
Actualice a una versión corregida de pytries. La vulnerabilidad se encuentra en las versiones 0.8.0 a 0.8.3 y se debe actualizar a una versión posterior que corrija el problema de deserialización en la función Trie.__setstate__.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
डिसेरिएलाइज़ेशन क्रमबद्ध डेटा (जैसे फ़ाइल या स्ट्रिंग) को उपयोग योग्य ऑब्जेक्ट में बदलने की प्रक्रिया है। डिसेरिएलाइज़ेशन भेद्यता तब होती है जब दुर्भावनापूर्ण क्रमबद्ध डेटा का उपयोग मनमाना कोड निष्पादित करने के लिए किया जा सकता है।
CVE का अर्थ है 'Common Vulnerabilities and Exposures' (सामान्य भेद्यताएं और जोखिम)। यह इस विशिष्ट भेद्यता के लिए एक अनूठा पहचानकर्ता है।
तुरंत 0.8.3 से पहले के संस्करणों का उपयोग करना बंद कर दें। अस्थायी शमन उपायों को लागू करें और अपने सिस्टम की निगरानी करें।
वर्तमान में कोई आधिकारिक पैच उपलब्ध नहीं है। pytries परियोजना से अपडेट पर नज़र रखें।
KEV का अर्थ है 'Known Exploitable Vulnerabilities' (ज्ञात शोषण योग्य भेद्यताएं)। इसे KEV के रूप में चिह्नित नहीं किया गया है, यह भेद्यता की गंभीरता को कम नहीं करता है, खासकर जब कोई सार्वजनिक शोषण उपलब्ध हो।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।