Plataforma
nodejs
Componente
@vendure/asset-server-plugin
Corregido en
2.3.4
3.0.1
2.3.3
La vulnerabilidad CVE-2024-48914 es un fallo de recorrido de ruta (path traversal) presente en el plugin @vendure/asset-server-plugin. Esta falla permite a un atacante acceder a archivos arbitrarios en el sistema de archivos del servidor, comprometiendo datos confidenciales. Afecta a versiones anteriores a 2.3.3 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para leer archivos sensibles almacenados en el servidor, como archivos de configuración, variables de entorno y otros datos críticos. Esto podría revelar credenciales de bases de datos, claves API, contraseñas y otra información confidencial. La explotación exitosa podría resultar en la completa toma de control del servidor o en la exfiltración de datos sensibles. El ataque se realiza mediante la manipulación de la ruta de acceso en las solicitudes HTTP, permitiendo al atacante eludir las restricciones de seguridad y acceder a directorios fuera del directorio raíz previsto. La demostración de concepto (PoC) proporcionada por el investigador Rajesh Sharma, utilizando curl --path-as-is, ilustra fácilmente la vulnerabilidad.
La vulnerabilidad fue publicada el 15 de octubre de 2024. Existe una demostración de concepto (PoC) pública, lo que indica una alta probabilidad de explotación. La severidad CRÍTICA (CVSS 9.1) subraya la importancia de abordar esta vulnerabilidad de manera urgente. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta significativamente el riesgo.
Vendure e-commerce platforms utilizing the Asset Server Plugin are at risk. Specifically, deployments using older versions of the plugin (prior to 2.3.3) and those with less restrictive file system permissions are particularly vulnerable. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromise of one application could potentially expose data from others.
• nodejs / server:
find /var/www/your-vendure-app -name 'package.json' -exec grep -H 'http://localhost:3000/assets/../' {} + # Look for references to the vulnerable path• generic web:
grep -i 'path=../' /var/log/nginx/access.log # Check access logs for suspicious paths• generic web:
grep -i 'GET /assets/../' /var/log/nginx/error.log # Check error logs for path traversal attemptsdisclosure
poc
patch
Estado del Exploit
EPSS
92.50% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin @vendure/asset-server-plugin a la versión 2.3.3 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de activos a través de reglas de firewall o WAF (Web Application Firewall). Además, se debe revisar y endurecer la configuración del servidor para minimizar la superficie de ataque. Monitorear los registros del servidor en busca de solicitudes sospechosas que intenten acceder a archivos fuera del directorio raíz también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la corrección revisando los registros de acceso y ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido resuelta.
Actualice Vendure a la versión 2.3.3 o superior, o a la versión 3.0.5 o superior. Alternativamente, utilice almacenamiento de objetos en lugar del sistema de archivos local (ej. MinIO o S3). También puede definir un middleware que detecte y bloquee las peticiones con URLs que contengan `/../`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-48914 is a critical path traversal vulnerability in the Vendure Asset Server Plugin allowing attackers to access arbitrary files on the server.
You are affected if you are using a version of the Vendure Asset Server Plugin prior to 2.3.3.
Upgrade the Vendure Asset Server Plugin to version 2.3.3 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
While active exploitation is not confirmed, a public POC exists, increasing the likelihood of exploitation.
Refer to the Vendure security advisory for detailed information and updates: [https://vendure.io/blog/security-advisory-cve-2024-48914](https://vendure.io/blog/security-advisory-cve-2024-48914)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.