CVE-2026-5752 cohere-terrarium में एक गंभीर सैंडबॉक्स एस्केप भेद्यता है। यह भेद्यता हमलावरों को JavaScript प्रोटोटाइप चेन ट्रैवर्सल का उपयोग करके होस्ट प्रक्रिया में मनमाना कोड निष्पादित करने की अनुमति देती है, जिसके परिणामस्वरूप रूट विशेषाधिकार प्राप्त हो सकते हैं। यह भेद्यता cohere-terrarium के संस्करण 1.0.0 से 1.0.1 तक के संस्करणों को प्रभावित करती है। संस्करण 1.0.2 में इस समस्या का समाधान किया गया है।
यह भेद्यता cohere-terrarium के भीतर सैंडबॉक्स सुरक्षा को दरकिनार करने की अनुमति देती है, जिससे हमलावर होस्ट सिस्टम पर अनियंत्रित कोड निष्पादित कर सकते हैं। एक सफल शोषण रूट विशेषाधिकारों की ओर ले जा सकता है, जिससे हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकता है। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, सिस्टम कॉन्फ़िगरेशन को संशोधित कर सकता है, या दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित कर सकता है। चूंकि यह भेद्यता JavaScript प्रोटोटाइप चेन ट्रैवर्सल पर निर्भर करती है, इसलिए यह अन्य JavaScript-आधारित सैंडबॉक्सिंग तंत्रों में समान भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है।
CVE-2026-5752 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में शोषण की संभावना है। इस CVE को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं मिले हैं, लेकिन भेद्यता की प्रकृति के कारण, शोषण के विकास की संभावना बनी हुई है।
Organizations utilizing cohere-terrarium for sandboxing or code execution are at risk, particularly those relying on versions 1.0.0 through 1.0.1. Environments where Terrarium is used to execute untrusted code or process user-supplied data are especially vulnerable. Development teams using Terrarium for testing or experimentation should also prioritize patching.
• javascript / sandbox:
// Monitor for prototype chain modifications within the Terrarium sandbox.
// This is a simplified example and requires adaptation to the specific Terrarium implementation.
Object.prototype.__proto__ = { malicious: 'code' };• javascript / sandbox: Inspect JavaScript code for prototype manipulation attempts. • javascript / sandbox: Review Terrarium configuration for overly permissive sandbox settings.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CVE-2026-5752 को कम करने के लिए, cohere-terrarium को संस्करण 1.0.2 में तुरंत अपडेट करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, JavaScript प्रोटोटाइप चेन ट्रैवर्सल को रोकने के लिए सैंडबॉक्सिंग वातावरण में सख्त सुरक्षा नीतियां लागू की जा सकती हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर किया जा सकता है ताकि संदिग्ध प्रोटोटाइप चेन हेरफेर प्रयासों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी संभावित शोषण प्रयासों की पहचान करने में मदद कर सकते हैं।
सैंडबॉक्स एस्केप भेद्यता (Sandbox Escape Vulnerability) को कम करने के लिए संस्करण 1.0.2 या बाद के संस्करण में अपडेट करें। यह अपडेट जावास्क्रिप्ट प्रोटोटाइप चेन के हेरफेर (manipulation) के माध्यम से रूट विशेषाधिकारों (root privileges) के साथ मनमाना कोड निष्पादन (arbitrary code execution) की संभावना को संबोधित करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5752 cohere-terrarium के संस्करण 1.0.0–1.0.1 में एक सैंडबॉक्स एस्केप भेद्यता है जो हमलावरों को होस्ट प्रक्रिया में मनमाना कोड निष्पादित करने की अनुमति देती है।
यदि आप cohere-terrarium के संस्करण 1.0.0 या 1.0.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-5752 को ठीक करने के लिए, cohere-terrarium को संस्करण 1.0.2 में तुरंत अपडेट करें।
CVE-2026-5752 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन भविष्य में शोषण की संभावना है।
आधिकारिक सलाहकार के लिए cohere की सुरक्षा वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।