प्लेटफ़ॉर्म
javascript
घटक
rallyl
में ठीक किया गया
4.7.1
4.7.2
4.7.3
4.7.4
4.8.0
CVE-2026-6493 Rally में एक सुरक्षा भेद्यता है जो क्रॉस-साइट स्क्रिप्टिंग (XSS) का कारण बन सकती है। इस भेद्यता का शोषण करके हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं, जिससे उपयोगकर्ता डेटा खतरे में पड़ सकता है। यह भेद्यता Rally के संस्करण 4.7.0 से 4.8.0 तक के संस्करणों को प्रभावित करती है। संस्करण 4.8.0 में अपग्रेड करके इस समस्या का समाधान किया जा सकता है।
rally के 4.8.0 से पहले के संस्करणों में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह कमजोरी फ़ाइल apps/web/src/app/[locale]/(auth)/reset-password/components/reset-password-form.tsx में 'Reset Password Handler' घटक में मौजूद है। एक हमलावर 'redirectTo' तर्क को हेरफेर करके वेब एप्लिकेशन में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। यह कोड अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित हो सकता है, जिससे हमलावर संवेदनशील जानकारी चुरा सकता है, उपयोगकर्ता के रूप में कार्य कर सकता है या वेब पेज के स्वरूप को बदल सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि इसका उपयोग दूरस्थ रूप से किया जा सकता है, जिसका अर्थ है कि हमलावर सिस्टम तक भौतिक पहुंच के बिना इसे समझौता कर सकता है। एक्सप्लॉइट का प्रकाशन स्थिति को बढ़ा देता है, जिससे लक्षित हमलों की संभावना बढ़ जाती है।
यह भेद्यता पासवर्ड रीसेट फ़ॉर्म में 'redirectTo' पैरामीटर के हैंडलिंग में निहित है। एक हमलावर एक दुर्भावनापूर्ण URL बना सकता है जिसे पासवर्ड रीसेट प्रक्रिया में उपयोग किए जाने पर वेब पेज में JavaScript कोड इंजेक्ट किया जाएगा। यह कोड उपयोगकर्ता के संदर्भ में निष्पादित होगा, जिससे हमलावर अनधिकृत कार्रवाई कर सकेगा। इस भेद्यता के एक्सप्लॉइट की सार्वजनिक उपलब्धता rally के कमजोर संस्करणों का उपयोग करने वाले अनुप्रयोगों को लक्षित करने वाले हमलों के जोखिम को बढ़ाती है। शोषण की दूरस्थ प्रकृति का मतलब है कि हमलावर किसी भी स्थान से इंटरनेट एक्सेस के साथ हमले शुरू कर सकते हैं।
Organizations and individuals using rallyl versions 4.7.0 through 4.8.0, particularly those relying on the Reset Password functionality, are at risk. Shared hosting environments where rallyl is deployed alongside other applications could also be affected, as a successful exploit could potentially compromise the entire hosting instance.
• javascript / web:
// Check for unusual redirects or script execution in the Reset Password Handler
// Monitor network requests for suspicious URLs• generic web:
curl -I <rallyl_url>/app/[locale]/(auth)/reset-password/components/reset-password-form.tsx | grep -i 'redirectto'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए अनुशंसित समाधान rally को संस्करण 4.8.0 में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो 'redirectTo' तर्क के हेरफेर को संबोधित करता है और दुर्भावनापूर्ण कोड इंजेक्शन को रोकता है। अपने एप्लिकेशन और उपयोगकर्ता डेटा की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करना महत्वपूर्ण है। अपडेट के अलावा, उपयोगकर्ता इनपुट सत्यापन और स्वच्छता के संबंध में सुरक्षा सर्वोत्तम प्रथाओं का पालन किया जा रहा है यह सुनिश्चित करने के लिए कोडिंग प्रथाओं की समीक्षा करें। संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी भी संभावित हमलों की पहचान करने और उनका जवाब देने में मदद कर सकती है।
Actualice la biblioteca rallly a la versión 4.8.0 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS) en el componente Reset Password Handler. Esta actualización corrige la manipulación del argumento 'redirectTo' que permite la ejecución de código malicioso. Consulte la documentación del proyecto para obtener instrucciones detalladas sobre cómo actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता के प्रकार का है जो हमलावरों को वैध वेबसाइटों में दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देता है। यह कोड उपयोगकर्ता के ब्राउज़र में निष्पादित होता है, जिससे हमलावर जानकारी चुरा सकता है, उपयोगकर्ता के रूप में कार्य कर सकता है या वेब पेज के स्वरूप को बदल सकता है।
यदि आप rally के 4.8.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपका एप्लिकेशन कमजोर है। जोखिम को कम करने के लिए नवीनतम संस्करण में अपडेट करें।
यदि आपको संदेह है कि आपका एप्लिकेशन समझौता किया गया है, तो आपको सभी प्रभावित उपयोगकर्ताओं के पासवर्ड बदल देने चाहिए, क्षति की सीमा निर्धारित करने के लिए घटना की जांच करनी चाहिए और आवश्यक सुरक्षा अपडेट लागू करने चाहिए।
rally को अपडेट करने के अलावा, आपको उपयोगकर्ता इनपुट सत्यापन और स्वच्छता, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग और मजबूत सुरक्षा नीतियों के कार्यान्वयन जैसे अन्य सुरक्षा उपाय लागू करने चाहिए।
आप Common Vulnerabilities and Exposures (CVE) डेटाबेस में पहचानकर्ता CVE-2026-6493 के तहत इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।