prasathmani TinyFileManager POST पैरामीटर filemanager.php पाथ ट्रावर्सल

CVE-2026-6496 TinyFileManager के संस्करण 2.6 से पहले के संस्करणों को प्रभावित करता है, POST पैरामीटर हैंडलर में एक पथ पारगमन भेद्यता को उजागर करता है, विशेष रूप से /filemanager.php फ़ाइल में। एक दूरस्थ हमलावर 'file[]' तर्क को हेरफेर करके इच्छित निर्देशिका के बाहर फ़ाइलों तक पहुंच सकता है, जिससे सिस्टम की गोपनीयता और अखंडता से समझौता हो सकता है। CVSS के अनुसार इस भेद्यता की गंभीरता को 5.4 के रूप में रेट किया गया है। प्रारंभिक प्रकटीकरण सूचनाओं के लिए विक्रेता की प्रतिक्रिया की कमी से स्थिति बढ़ जाती है, जिससे उपयोगकर्ताओं के पास कोई आधिकारिक फिक्स नहीं रहता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि शोषण विवरण सार्वजनिक रूप से जारी किया गया है, जिससे दुर्भावनापूर्ण अभिनेताओं के लिए इसका उपयोग करना आसान हो जाता है। TinyFileManager उपयोगकर्ताओं को दृढ़ता से एक पैच किए गए संस्करण में अपग्रेड करने या समाधान जारी होने तक वैकल्पिक शमन उपायों को लागू करने की सलाह दी जाती है।

1. आरक्षित2026-04-17
2. प्रकाशित2026-04-17
3. EPSS अद्यतन2026-04-25

विक्रेता से फिक्स की कमी को देखते हुए, शमन उपायों का ध्यान पहुंच और एक्सपोजर को सीमित करने पर है। केवल अधिकृत उपयोगकर्ताओं को TinyFileManager तक पहुंच को प्रतिबंधित करना और सुरक्षित नेटवर्क के माध्यम से करना दृढ़ता से अनुशंसित है। उपयोगकर्ता इनपुट, विशेष रूप से 'file[]' तर्क का सख्त सत्यापन पथ पारगमन को रोकने के लिए महत्वपूर्ण है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने और शोषण प्रयासों को अवरुद्ध करने पर विचार करें। TinyFileManager से संबंधित सिस्टम लॉग की निगरानी करने से संभावित हमलों का पता लगाने और उनका जवाब देने में मदद मिल सकती है। एक अस्थायी उपाय के रूप में, यदि यह बिल्कुल आवश्यक नहीं है, तो TinyFileManager को अक्षम करने पर विचार किया जा सकता है, जब तक कि अधिक स्थायी समाधान नहीं मिल जाता। विक्रेता की प्रतिक्रिया की कमी सक्रिय सुरक्षा और जोखिम प्रबंधन के महत्व को उजागर करती है।