Plataforma
other
Componente
dvc
Corregido en
6.3.1
Se ha identificado una vulnerabilidad de Path Traversal en el software DVC de TRCore, afectando a las versiones 6.0 hasta 6.3. Esta falla permite a atacantes no autenticados subir archivos arbitrarios al sistema, lo que podría resultar en la ejecución de código malicioso. La vulnerabilidad fue publicada el 18 de noviembre de 2024 y se recomienda actualizar a la versión 6.3.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en DVC permite a un atacante subir archivos a cualquier directorio del sistema sin necesidad de autenticación. Esto significa que un atacante podría subir un webshell, un script malicioso que le permitiría controlar el servidor. El impacto potencial es severo, incluyendo la ejecución remota de código, robo de datos sensibles, y la toma de control completa del sistema. La falta de restricciones en los tipos de archivos subidos agrava el riesgo, ya que facilita la carga de archivos maliciosos. La posibilidad de ejecución remota de código es comparable a la gravedad de vulnerabilidades como la de Log4Shell, donde la ejecución de código arbitrario puede tener consecuencias devastadoras.
La vulnerabilidad CVE-2024-11313 ha sido publicada recientemente y su CVSS score de 9.8 indica una alta probabilidad de explotación. No se ha confirmado la inclusión en el KEV de CISA, pero dada la severidad y la facilidad de explotación, es probable que sea añadida en el futuro. Actualmente no se conocen públicamente exploits activos, pero la disponibilidad de la vulnerabilidad y su alta severidad sugieren que podría ser objeto de campañas de ataque en breve. La información sobre esta vulnerabilidad se encuentra disponible en el NVD (National Vulnerability Database) y en el sitio web de TRCore.
Organizations utilizing TRCore DVC versions 6.0 through 6.3 are at significant risk. This includes deployments where file uploads are a core functionality and where access controls are not strictly enforced. Shared hosting environments using TRCore DVC are particularly vulnerable due to the potential for cross-tenant exploitation.
• other / general: Monitor web server access logs for unusual file upload patterns, particularly attempts to access files outside of designated upload directories. Look for requests containing directory traversal sequences (e.g., ../).
• other / general: Inspect the DVC installation directory for unexpected files, especially those with executable extensions (e.g., .php, .asp, .jsp).
• other / general: Review DVC configuration files for any insecure file upload settings or missing validation checks.
disclosure
Estado del Exploit
EPSS
5.16% (90% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 6.3.1 de DVC, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso al directorio de subida de archivos a través de un firewall o proxy puede ayudar a limitar el impacto. Además, se pueden configurar reglas de WAF (Web Application Firewall) para bloquear la subida de archivos con extensiones sospechosas o patrones maliciosos. Es crucial revisar y endurecer las configuraciones de seguridad del servidor para minimizar la superficie de ataque.
Actualice DVC a una versión posterior a la 6.3 para corregir la vulnerabilidad de Path Traversal y la falta de restricción en los tipos de archivos subidos. Esto evitará la ejecución arbitraria de código mediante la carga de webshells. Consulte las notas de la versión para obtener instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11313 is a critical vulnerability in TRCore DVC versions 6.0–6.3 that allows unauthenticated attackers to upload arbitrary files, potentially leading to code execution.
If you are using TRCore DVC versions 6.0, 6.1, 6.2, or 6.3, you are potentially affected by this vulnerability. Upgrade to 6.3.1 or later.
The recommended fix is to upgrade TRCore DVC to version 6.3.1 or later. If upgrading is not immediately possible, implement temporary workarounds like restricting file uploads and using a WAF.
While no confirmed exploitation is publicly known, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted. Monitor security advisories and threat intelligence feeds.
Refer to the official TRCore security advisory for detailed information and updates regarding CVE-2024-11313. Check the TRCore website or relevant security mailing lists.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.