प्लेटफ़ॉर्म
java
घटक
go-fastdfs-web
में ठीक किया गया
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
1.3.7
1.3.8
CVE-2026-6105 describes an improper authorization vulnerability discovered in go-fastdfs-web versions 1.3.0 through 1.3.7. This flaw resides within the InstallController.java file, specifically the doInstall interface. Successful exploitation could lead to unauthorized access and potential data compromise. A patch is anticipated, but currently unavailable; mitigation strategies are detailed below.
perfree go-fastdfs-web के संस्करण 1.3.7 और उससे पहले में एक अनुचित प्राधिकरण भेद्यता की पहचान की गई है। यह भेद्यता फ़ाइल src/main/java/com/perfree/controller/InstallController.java में doInstall इंटरफ़ेस में मौजूद है। एक दूरस्थ हमलावर इस दोष का फायदा उठाकर संसाधनों तक अनधिकृत पहुंच प्राप्त कर सकता है या अनधिकृत क्रियाएं कर सकता है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 7.3 के रूप में रेट किया गया है। इस सार्वजनिक रूप से उपलब्ध भेद्यता के शुरुआती प्रकटीकरण के लिए विक्रेता की प्रतिक्रिया की कमी से स्थिति बढ़ गई है, जिससे उपयोगकर्ताओं को महत्वपूर्ण जोखिम का सामना करना पड़ रहा है। सफल शोषण से go-fastdfs-web सिस्टम द्वारा संग्रहीत और प्रबंधित डेटा की गोपनीयता और अखंडता से समझौता हो सकता है।
go-fastdfs-web में अनुचित प्राधिकरण भेद्यता एक दूरस्थ हमलावर को उचित प्रमाणीकरण या प्राधिकरण के बिना doInstall इंटरफ़ेस का फायदा उठाने की अनुमति देती है। भेद्यता का सार्वजनिक प्रकटीकरण शोषण के जोखिम को बढ़ाता है, क्योंकि हमलावरों को अब दोष का ज्ञान है और वे शोषण विकसित और तैनात कर सकते हैं। विक्रेता की प्रतिक्रिया की कमी सॉफ्टवेयर के रखरखाव या समर्थन की कमी का संकेत देती है, जिससे उपयोगकर्ताओं को सुरक्षा पैच या अपडेट नहीं मिल सकते हैं। शोषण की दूरस्थ प्रकृति का मतलब है कि भेद्यता को किसी भी स्थान से शोषण किया जा सकता है जहां go-fastdfs-web चल रहा है, जहां नेटवर्क एक्सेस है। उपयोगकर्ताओं को अपने सिस्टम को सुरक्षित करने के लिए तत्काल कार्रवाई करने की दृढ़ता से सलाह दी जाती है।
Organizations deploying go-fastdfs-web in production environments, particularly those with exposed instances accessible from the internet, are at significant risk. Shared hosting environments where multiple users share the same go-fastdfs-web instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others. Systems with legacy configurations or those lacking robust network security controls are especially susceptible.
• java / server:
grep -r 'doInstall' /path/to/go-fastdfs-web/src/main/java/• generic web:
curl -I http://your-server/install | grep -i '200 OK'• generic web:
curl -I http://your-server/install/ | grep -i '403 Forbidden'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
विक्रेता द्वारा एक समाधान प्रदान नहीं किए जाने के कारण, तत्काल शमन में उपलब्ध होने पर go-fastdfs-web के बाद के संस्करण में अपग्रेड करना शामिल है। यदि अपग्रेड करना संभव नहीं है, तो go-fastdfs-web चलाने वाले वातावरण में सख्त पहुंच नियंत्रण लागू करने की सिफारिश की जाती है। इसमें फ़ायरवॉल को कॉन्फ़िगर करना, केवल अधिकृत उपयोगकर्ताओं को doInstall इंटरफ़ेस तक पहुंच को प्रतिबंधित करना और शोषण के संकेतों के लिए सिस्टम की लगातार निगरानी करना शामिल है। इसके अतिरिक्त, संभावित हमलों के खिलाफ एक परतदार बचाव सुनिश्चित करने के लिए मौजूदा सुरक्षा नीतियों की समीक्षा और मजबूत करने की सलाह दी जाती है। विक्रेता की प्रतिक्रिया की कमी स्व-सुरक्षा और सक्रिय सुरक्षा प्रथाओं के महत्व पर प्रकाश डालती है।
Actualice a una versión corregida de go-fastdfs-web. Revise la configuración de autorización para asegurar que solo los usuarios autorizados puedan acceder a la funcionalidad de instalación. Implemente controles de acceso robustos para prevenir accesos no autorizados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि एक उपयोगकर्ता उन कार्यों या डेटा तक पहुंच सकता है जिन तक उसे पहुंच नहीं होनी चाहिए।
सख्त पहुंच नियंत्रण लागू करें और सिस्टम गतिविधि की निगरानी करें।
प्रतिक्रिया की कमी चिंताजनक है और स्व-सुरक्षा के महत्व पर प्रकाश डालती है।
यदि आप go-fastdfs-web के 1.3.8 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं।
NIST NVD जैसे भेद्यता डेटाबेस में CVE-2026-6105 देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।