Plataforma
python
Componente
litestar-org/litestar
Corregido en
2.8.1
1.37.1
2.7.1
2.0.1
Se ha descubierto una vulnerabilidad de Inclusión de Archivos Locales (LFI) en Litestar, un framework ASGI para Python. Esta falla de seguridad, presente en versiones 2.0.0–>= 2.8.0, < 2.8.3, permite a atacantes explotar vulnerabilidades de recorrido de ruta, facilitando el acceso no autorizado a archivos sensibles fuera de los directorios designados. La actualización a la versión 2.8.3 soluciona esta vulnerabilidad.
La vulnerabilidad de recorrido de ruta en Litestar permite a un atacante leer archivos arbitrarios en el sistema de archivos del servidor. Esto podría incluir archivos de configuración, claves privadas, código fuente o cualquier otro archivo al que el proceso de Litestar tenga acceso. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, modificar archivos del sistema o incluso ejecutar código malicioso si tiene los permisos necesarios. El impacto potencial es significativo, pudiendo comprometer la integridad y confidencialidad de los datos almacenados en el servidor. La naturaleza de la vulnerabilidad LFI la hace similar a otras explotaciones que buscan la divulgación de información sensible a través del acceso no autorizado a archivos.
La vulnerabilidad CVE-2024-32982 fue publicada el 6 de mayo de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Applications and services built using Litestar, particularly those serving static content, are at risk. This includes deployments utilizing custom static file serving configurations or those with inadequate input validation. Shared hosting environments where multiple applications share the same server and file system are also particularly vulnerable.
• python / server:
import os
import requests
url = 'http://your-litestar-server/static/../../../../etc/passwd' # Example path traversal attempt
response = requests.get(url)
if response.status_code == 200:
print('Potential vulnerability detected: Path traversal successful!')
print(response.text)
else:
print('Path traversal attempt failed.')• linux / server:
journalctl -u litestar -f | grep "path traversal"• generic web:
curl -I http://your-litestar-server/static/../../../../etc/passwdCheck the response headers for any unexpected content or errors.
disclosure
Estado del Exploit
EPSS
0.23% (45% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-32982 es actualizar Litestar a la versión 2.8.3 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales. Restrinja el acceso a los archivos estáticos a través de una configuración de firewall o proxy inverso. Implemente reglas de WAF (Web Application Firewall) para bloquear solicitudes que contengan caracteres de recorrido de ruta (por ejemplo, '..'). Revise y endurezca los permisos de los archivos y directorios para limitar el acceso del proceso de Litestar solo a los archivos necesarios. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se pueden acceder a archivos fuera de los directorios designados.
Actualice Litestar a la versión 2.8.3, 2.7.2 o 2.6.4, o superior. Esto corrige la vulnerabilidad de path traversal en el componente de servicio de archivos estáticos. La actualización previene el acceso no autorizado a archivos sensibles fuera de los directorios designados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-32982 is a Path Traversal vulnerability affecting Litestar versions 2.0.0–>= 2.8.0 < 2.8.3, allowing attackers to access sensitive files outside designated directories.
You are affected if you are using Litestar versions 2.0.0 through 2.8.2 (excluding 2.8.3).
Upgrade to Litestar version 2.8.3 or later to remediate the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
There is currently no indication of active exploitation campaigns, but public PoCs are likely to emerge.
Refer to the Litestar project's security advisories and release notes for the official announcement and details: [https://litestar.dev/](https://litestar.dev/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.