Plataforma
nodejs
Componente
@oakserver/oak
Corregido en
17.1.4
14.1.1
La vulnerabilidad CVE-2024-49770 es un fallo de Path Traversal descubierto en la biblioteca @oakserver/oak. Esta permite a atacantes eludir las restricciones de acceso a archivos ocultos mediante la codificación de caracteres URL. Afecta a versiones de @oakserver/oak menores o iguales a 14.1.0. La solución es actualizar a la versión 17.1.3.
Un atacante puede explotar esta vulnerabilidad para acceder a archivos sensibles en el servidor que ejecuta @oakserver/oak, incluso aquellos que deberían estar ocultos. La codificación de / como %2F en la URL permite eludir la función decodeComponent y acceder a estos archivos. Esto podría resultar en la exposición de información confidencial, como claves de API, contraseñas u otros datos sensibles almacenados en el sistema de archivos del servidor. La severidad de este fallo radica en su potencial para comprometer la integridad y confidencialidad de los datos.
La vulnerabilidad fue publicada el 1 de noviembre de 2024. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera media, dado que la técnica de codificación de URL es relativamente sencilla de implementar. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa.
Applications and services built using @oakserver/oak versions prior to 17.1.3 are at risk. This includes web applications, APIs, and other backend systems that rely on @oakserver/oak for routing and file handling. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially expose files from others.
• nodejs / server:
npm list @oakserver/oak• nodejs / server:
find / -name "node_modules/@oakserver/oak/send.ts" -print• nodejs / server:
grep -r '%2F' /path/to/oak/project/disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-49770 es actualizar la biblioteca @oakserver/oak a la versión 17.1.3 o superior. Si la actualización inmediata no es posible, se recomienda implementar una capa de seguridad adicional, como un Web Application Firewall (WAF), para filtrar las solicitudes que contienen caracteres URL codificados en rutas de archivo. Además, revise la configuración de la aplicación para asegurar que no se estén utilizando rutas de archivo dinámicas sin una validación adecuada. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes con rutas de archivo codificadas ya no tengan acceso a archivos ocultos.
Actualice la dependencia `oak` a la versión 17.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite el acceso a archivos ocultos. Ejecute `npm update oak` o `yarn upgrade oak` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-49770 is a Path Traversal vulnerability in @oakserver/oak that allows attackers to bypass hidden file restrictions by URL encoding / as %2F, potentially exposing sensitive data.
Yes, if you are using @oakserver/oak versions less than or equal to 14.1.0, you are affected by this vulnerability.
Upgrade to version 17.1.3 or later of @oakserver/oak to remediate the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the ease of exploitation suggests a potential risk.
Refer to the @oakserver/oak project's repository and release notes for the official advisory and details on the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.