Plataforma
python
Componente
netease-youdao/qanything
Se ha identificado una vulnerabilidad de inclusión de archivos local en qanything, versión v2.0.0 y anteriores. Esta falla permite a un atacante con acceso local leer archivos arbitrarios del sistema de archivos, comprometiendo la confidencialidad de datos sensibles. La vulnerabilidad afecta a todas las versiones anteriores a la última disponible. Se recomienda actualizar a la versión más reciente para mitigar el riesgo.
La inclusión de archivos local en qanything permite a un atacante leer cualquier archivo al que el proceso tenga acceso. Esto incluye archivos de configuración, código fuente, claves SSH privadas y otros datos confidenciales. La exposición de claves SSH podría permitir al atacante obtener acceso remoto al sistema. La lectura de código fuente podría revelar información sobre la arquitectura interna de la aplicación, facilitando futuros ataques. La vulnerabilidad es particularmente grave porque no requiere autenticación, siempre que el atacante tenga acceso local al sistema donde se ejecuta qanything. Un ataque exitoso podría resultar en la completa toma de control del sistema.
La vulnerabilidad CVE-2024-12866 fue publicada el 20 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas. No se han encontrado públicamente pruebas de concepto (PoCs) disponibles, pero la naturaleza de la vulnerabilidad la hace susceptible a explotación una vez que se disponga de información detallada sobre su funcionamiento interno.
Systems running qanything in production environments, particularly those with default configurations or inadequate access controls, are at significant risk. Development environments and testing servers also face exposure. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's qanything instance could lead to the compromise of the entire server.
• python / server:
import os
import requests
url = 'http://your-qanything-server/qanything?file='
# Attempt to read a sensitive file (replace with a known path)
try:
response = requests.get(url + '/etc/passwd')
if response.status_code == 200:
print('Potential LFI detected: File content retrieved.')
else:
print('File access denied.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• linux / server:
journalctl -u qanything -f | grep -i "file:"• generic web:
curl -I http://your-qanything-server/qanything?file=/etc/passwddisclosure
Estado del Exploit
EPSS
0.25% (48% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar qanything a la última versión disponible, que debería incluir una corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar el acceso al sistema de archivos. Esto puede incluir la configuración de permisos de archivo restrictivos y la implementación de listas de control de acceso (ACLs). Además, se debe revisar la configuración de qanything para asegurarse de que no se estén utilizando rutas de archivo inseguras. Después de la actualización, verifique la integridad de los archivos de configuración y la ausencia de archivos no autorizados.
Actualice qanything a una versión posterior a la 2.0.0 que corrija la vulnerabilidad de inclusión de archivos locales. Consulte las notas de la versión o el registro de cambios del proyecto para obtener más detalles sobre la corrección. Como medida temporal, restrinja el acceso a los archivos sensibles del sistema y valide las entradas de los usuarios para evitar la manipulación de rutas de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12866 is a Local File Inclusion vulnerability in the qanything Python application, allowing attackers to read arbitrary files.
You are affected if you are using qanything version ≤ latest. Check your installed version and upgrade as soon as a patch is available.
Upgrade to a patched version of qanything. Until a patch is available, restrict file access and validate input.
There are currently no known active exploits, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the netease-youdao project repository and relevant security mailing lists for updates on the advisory and patch release.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.