Plataforma
other
Componente
dvc
Corregido en
6.3.1
Se ha identificado una vulnerabilidad de Path Traversal en DVC, el software de TRCore, que afecta a las versiones 6.0 hasta 6.3. Esta falla permite a atacantes no autenticados subir archivos arbitrarios al sistema, lo que puede resultar en la ejecución remota de código. La vulnerabilidad fue publicada el 18 de noviembre de 2024 y se recomienda actualizar a la versión 6.3.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en DVC representa un riesgo crítico para la seguridad. Un atacante puede aprovechar esta falla para subir archivos maliciosos, como webshells, a cualquier directorio del sistema. Una vez que el atacante ha subido un webshell, puede ejecutar comandos arbitrarios en el servidor, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. Esto podría incluir el robo de información sensible, la modificación de archivos críticos del sistema o incluso el control total del servidor. La falta de restricciones en los tipos de archivos subidos agrava aún más el riesgo, permitiendo la carga de una amplia gama de payloads maliciosos.
La vulnerabilidad CVE-2024-11312 ha sido publicada recientemente y, aunque no se ha confirmado su explotación activa, la alta puntuación CVSS (9.8) indica un alto riesgo. No se ha añadido a la lista KEV de CISA al momento de esta redacción. La disponibilidad de una prueba de concepto pública podría aumentar significativamente el riesgo de explotación. Se recomienda monitorear activamente los sistemas afectados.
Organizations utilizing TRCore DVC in environments accessible via the internet are at significant risk. This includes deployments with default configurations, legacy systems that haven't been regularly patched, and environments where file upload functionality is exposed without proper validation.
disclosure
Estado del Exploit
EPSS
5.16% (90% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 6.3.1 de DVC, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restrinja los permisos de escritura en los directorios donde DVC almacena archivos subidos. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Monitoree los registros del sistema en busca de intentos de subida de archivos inusuales o no autorizados. Si es posible, desactive temporalmente la funcionalidad de subida de archivos hasta que se pueda aplicar la actualización.
Actualice a una versión posterior a la 6.3 de DVC. Esto solucionará la vulnerabilidad de path traversal y la falta de restricción en los tipos de archivos subidos. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11312 es una vulnerabilidad de Path Traversal en DVC de TRCore que permite a atacantes subir archivos arbitrarios, potencialmente ejecutando código malicioso en el servidor.
Si está utilizando DVC de TRCore en las versiones 6.0 a 6.3, es vulnerable a esta vulnerabilidad. Actualice a la versión 6.3.1 para solucionar el problema.
La solución es actualizar a la versión 6.3.1 de DVC. Si no es posible, implemente medidas de mitigación como restricciones de permisos y reglas WAF.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS indica un alto riesgo y se recomienda monitorear activamente los sistemas afectados.
Consulte el sitio web de TRCore o su canal de comunicación oficial para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.