CVE-2026-6067 Netwide Assembler (NASM) में एक Heap Buffer Overflow भेद्यता है, जो obj_directive() फ़ंक्शन में सीमा जाँच की कमी के कारण होती है। एक हमलावर दुर्भावनापूर्ण .asm फ़ाइल को इकट्ठा करके इस भेद्यता का फायदा उठा सकता है, जिससे संभावित रूप से Heap मेमोरी भ्रष्टाचार, Denial of Service (क्रैश) और मनमाना कोड निष्पादन हो सकता है। यह भेद्यता NASM के संस्करण 3.02rc5 को प्रभावित करती है। No official patch available.
CVE-2026-6067 Netwide Assembler (NASM) में एक स्टैक बफर ओवरफ्लो भेद्यता को उजागर करता है। यह दोष obj_directive() फ़ंक्शन के भीतर सीमा जाँच की कमी के कारण होता है। एक हमलावर इस भेद्यता का शोषण एक दुर्भावनापूर्ण .asm फ़ाइल बनाकर कर सकता है। इस फ़ाइल को असेंबल करने से स्टैक मेमोरी भ्रष्टाचार हो सकता है, जिससे सेवा से इनकार (क्रैश) या, अधिक गंभीर रूप से, मनमाना कोड निष्पादन हो सकता है। इस भेद्यता की गंभीरता इसकी सिस्टम अखंडता और उपलब्धता को खतरे में डालने की क्षमता से उत्पन्न होती है। ज्ञात फिक्स की अनुपस्थिति स्थिति को बढ़ा देती है, जिससे सावधानीपूर्वक जोखिम मूल्यांकन और वैकल्पिक शमन उपायों का कार्यान्वयन आवश्यक हो जाता है।
CVE-2026-6067 का शोषण करने के लिए, एक हमलावर को NASM का उपयोग करके असेंबल किए जाने वाले .asm फ़ाइल की सामग्री को नियंत्रित करने में सक्षम होना चाहिए। यह उन परिदृश्यों में हो सकता है जहां NASM का उपयोग स्वचालित बिल्ड प्रक्रिया के हिस्से के रूप में किया जाता है, या जहां उपयोगकर्ता स्वतंत्र रूप से .asm फ़ाइलों को अपलोड और असेंबल कर सकते हैं। हमलावर को .asm फ़ाइल को इस तरह से बनाना चाहिए कि obj_directive() फ़ंक्शन के भीतर बफर ओवरफ्लो ट्रिगर हो। शोषण की जटिलता सिस्टम आर्किटेक्चर और लागू सुरक्षा सुरक्षा, जैसे डेटा निष्पादन रोकथाम (DEP) और पता स्थान लेआउट रैंडमाइजेशन (ASLR) पर निर्भर करेगी। हालाँकि, ज्ञात फिक्स की अनुपस्थिति का अर्थ है कि शोषण के अवसर की खिड़की काफी बड़ी हो सकती है।
Developers and system administrators who use NASM to assemble code, particularly in automated build pipelines or environments where untrusted .asm files are processed, are at risk. Systems relying on NASM for critical infrastructure or sensitive applications face the highest potential impact.
• linux / server:
ps aux | grep nasm• generic web:
curl -I http://yourserver/nasm | grep 'Server:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
चूंकि CVE-2026-6067 के लिए कोई आधिकारिक फिक्स नहीं है, इसलिए शमन का ध्यान हमले की सतह को कम करने और संभावित प्रभाव को सीमित करने पर है। अविश्वसनीय स्रोतों से .asm फ़ाइलों को असेंबल करने से बचना दृढ़ता से अनुशंसित है। NASM स्रोत कोड का स्थैतिक विश्लेषण करने से आंतरिक रूप से भेद्यता की पहचान और सुधार करने में मदद मिल सकती है। इसके अलावा, NASM का उपयोग करने वाले सिस्टम को शोषण का संकेत देने वाले असामान्य व्यवहार के लिए बारीकी से निगरानी करें। जहां संभव हो, वैकल्पिक असेंबलरों का उपयोग करना एक दीर्घकालिक शमन रणनीति हो सकती है। NASM के नवीनतम उपलब्ध संस्करण में अपडेट करना, हालांकि यह सीधे तौर पर भेद्यता को ठीक नहीं करता है, अन्य सुरक्षा पैच शामिल हो सकते हैं जो सिस्टम की समग्र मुद्रा में सुधार करते हैं।
Actualice a una versión corregida de NASM. La vulnerabilidad se encuentra en la versión 3.02rc5 y se espera que las versiones posteriores contengan la corrección. Consulte el repositorio de GitHub para obtener más información y actualizaciones.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
NASM (Netwide Assembler) एक लोकप्रिय असेंबलर है जिसका उपयोग असेंबली भाषा से मशीन कोड बनाने के लिए किया जाता है।
यदि कोई उपयोगकर्ता दुर्भावनापूर्ण .asm फ़ाइल को असेंबल करता है, तो इससे प्रोग्राम क्रैश हो सकता है या, अधिक गंभीर रूप से, मनमाना कोड निष्पादित हो सकता है।
वर्तमान में कोई आधिकारिक फिक्स उपलब्ध नहीं है।
अविश्वसनीय स्रोतों से .asm फ़ाइलों को असेंबल करने से बचें और अपने सिस्टम को असामान्य व्यवहार के लिए मॉनिटर करें।
आप NVD (नेशनल वल्नेरेबिलिटी डेटाबेस) जैसे भेद्यता डेटाबेस में CVE-2026-6067 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।