Plataforma
other
Componente
dvc
Corregido en
6.3.1
Se ha identificado una vulnerabilidad de Path Traversal en DVC, el software de TRCore, que afecta a las versiones 6.0 a 6.3. Esta falla permite a atacantes no autenticados subir archivos arbitrarios a cualquier directorio del sistema, lo que podría resultar en la ejecución remota de código. La vulnerabilidad fue publicada el 18 de noviembre de 2024 y se recomienda actualizar a la versión 6.3.1 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en DVC representa un riesgo crítico debido a su potencial para la ejecución remota de código. Un atacante podría aprovechar esta falla para subir un webshell, un script malicioso que le permitiría tomar control del servidor. Esto podría llevar a la exfiltración de datos sensibles, la modificación de la configuración del sistema, o incluso el uso del servidor como punto de partida para ataques a otros sistemas en la red. La falta de restricciones en los tipos de archivos subidos agrava aún más el riesgo, ya que facilita la carga de archivos maliciosos. La ejecución de código arbitrario podría comprometer la confidencialidad, integridad y disponibilidad del sistema.
La vulnerabilidad CVE-2024-11314 ha sido publicada recientemente y, aunque no se ha confirmado su explotación activa, su alta puntuación CVSS (9.8) indica un alto riesgo. No se ha añadido a la lista KEV de CISA al momento de esta redacción. La disponibilidad de una versión parcheada (6.3.1) reduce la probabilidad de explotación, pero la falta de autenticación para la subida de archivos la convierte en un objetivo atractivo para atacantes.
Organizations utilizing TRCore DVC in production environments, particularly those with internet-facing deployments, are at significant risk. Systems with legacy configurations or those lacking robust security controls are especially vulnerable. Shared hosting environments where multiple users share the same DVC instance are also at increased risk.
• other: Monitor DVC server logs for unusual file upload activity, particularly attempts to upload files with unexpected extensions or to unusual directories. Look for patterns indicative of path traversal attempts (e.g., ../).
• other: Implement file integrity monitoring (FIM) to detect unauthorized modifications to critical system files and directories.
• other: Review DVC configuration for any misconfigurations that could exacerbate the vulnerability, such as overly permissive file upload settings.
disclosure
Estado del Exploit
EPSS
5.16% (90% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar DVC a la versión 6.3.1 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir los permisos de escritura en los directorios del servidor puede limitar el daño potencial. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo puede ayudar a prevenir la explotación. Monitorear los registros del servidor en busca de intentos de subida de archivos inusuales también es crucial. Después de la actualización, confirmar que la vulnerabilidad ha sido resuelta verificando que la subida de archivos a directorios no autorizados está bloqueada.
Actualice DVC a una versión posterior a la 6.3 para corregir la vulnerabilidad de Path Traversal y la falta de restricción en los tipos de archivos subidos. Esto evitará la ejecución de código arbitrario mediante la carga de webshells. Consulte las notas de la versión para obtener instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11314 es una vulnerabilidad de Path Traversal en el software DVC de TRCore que permite a atacantes subir archivos arbitrarios, potencialmente ejecutando código malicioso.
Si está utilizando DVC de TRCore en las versiones 6.0 a 6.3, es vulnerable. Actualice a la versión 6.3.1 o superior para mitigar el riesgo.
La solución es actualizar DVC a la versión 6.3.1 o superior. Si la actualización no es posible, implemente medidas de seguridad adicionales como restricciones de permisos y reglas WAF.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS indica un alto riesgo y la vulnerabilidad podría ser explotada.
Consulte el sitio web oficial de TRCore o las fuentes de seguridad de la industria para obtener la información más reciente sobre la vulnerabilidad y las actualizaciones de seguridad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.