Plataforma
python
Componente
devika
Corregido en
-
Se ha identificado una vulnerabilidad de Directory Traversal en el repositorio stitionai/devika, específicamente en el endpoint /api/download-project. Esta falla permite a atacantes descargar archivos arbitrarios del sistema mediante la manipulación del parámetro 'projectname' en una solicitud GET. La vulnerabilidad afecta a la última versión del repositorio y se debe a una validación insuficiente de la entrada en la función 'downloadproject'.
La explotación exitosa de esta vulnerabilidad permite a un atacante acceder a archivos sensibles almacenados en el sistema, incluso aquellos que se encuentran fuera del directorio previsto. Esto podría resultar en la divulgación de información confidencial, como claves de API, contraseñas u otros datos críticos. El atacante podría potencialmente escalar sus privilegios y comprometer la integridad del sistema. La falta de validación de entrada facilita la manipulación de la ruta del archivo, permitiendo el acceso no autorizado.
Esta vulnerabilidad se ha hecho pública recientemente (2024-06-27). No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. La probabilidad de explotación se considera media debido a la falta de autenticación requerida para acceder al endpoint vulnerable. Se recomienda monitorear activamente los sistemas afectados.
Organizations deploying Devika in environments with inadequate input validation or access controls are at risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other users' data through this vulnerability. Systems with legacy configurations or those lacking robust security monitoring are also at increased risk.
• linux / server: Monitor access logs for requests to /api/download-project containing suspicious characters like ../ or absolute paths. Use grep to search for these patterns.
grep 'project_name=.*\.\.' /var/log/nginx/access.log• generic web: Use curl to test the endpoint with various payloads containing path traversal sequences.
curl 'http://your-devika-server/api/download-project?project_name=../../../../etc/passwd'• generic web: Examine response headers for unexpected content types or file extensions that indicate unauthorized file access.
• linux / server: Use auditd to monitor access to sensitive files and directories. Create an audit rule to log attempts to access files outside the intended directory.
auditctl -w / -p wa -k devika_traversaldisclosure
Estado del Exploit
EPSS
0.89% (75% percentil)
CISA SSVC
Vector CVSS
Dado que no se dispone de una actualización oficial, la mitigación se centra en medidas de seguridad adicionales. Implemente una validación estricta de la entrada del parámetro 'projectname', asegurándose de que solo contenga caracteres válidos y no permita secuencias como '..'. Restrinja los permisos de acceso al directorio donde se almacenan los archivos del proyecto, limitando el acceso solo a los usuarios y procesos autorizados. Considere la implementación de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Monitoree los registros del servidor en busca de patrones sospechosos, como solicitudes GET con parámetros 'projectname' inusuales.
Actualice a la última versión de devika. El commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 contiene la solución a la vulnerabilidad. Asegúrese de validar y sanitizar correctamente la entrada 'project_name' para evitar el recorrido de directorios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5548 is a directory traversal vulnerability in the stitionai/devika repository, allowing attackers to download arbitrary files by manipulating the project_name parameter. It has a CVSS score of 7.5 (HIGH).
All versions of the stitionai/devika repository are affected by this vulnerability due to insufficient input validation. If you are using Devika, you are potentially at risk.
Currently, no official fix is available. Mitigate by implementing WAF rules, restricting access to the /api/download-project endpoint, and enforcing strict access controls on the file system.
As of now, there is no confirmed evidence of active exploitation campaigns targeting CVE-2024-5548, but the high CVSS score suggests a potential risk.
Refer to the stitionai/devika repository for updates and advisories related to CVE-2024-5548. Check their GitHub repository for announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.