Plataforma
nodejs
Componente
path-sanitizer
Corregido en
3.1.1
3.1.0
La vulnerabilidad CVE-2024-56198 es una falla de path traversal descubierta en el paquete npm path-sanitizer. Esta vulnerabilidad permite a los atacantes eludir los mecanismos de saneamiento de rutas y acceder a archivos arbitrarios en el sistema. Afecta a versiones anteriores a 3.1.0 de path-sanitizer y puede ser explotada tanto en aplicaciones de línea de comandos como en aplicaciones web que utilicen este paquete.
La explotación exitosa de esta vulnerabilidad permite a un atacante leer archivos sensibles en el sistema donde se ejecuta la aplicación que utiliza path-sanitizer. Esto podría incluir archivos de configuración, claves API, contraseñas u otros datos confidenciales. En un contexto de aplicación web, un atacante podría utilizar esta vulnerabilidad para acceder a archivos fuera del directorio raíz web previsto, potencialmente exponiendo información del servidor o incluso ejecutando código malicioso si se encuentran archivos ejecutables accesibles. La capacidad de eludir el saneamiento de rutas hace que esta vulnerabilidad sea particularmente peligrosa, ya que los mecanismos de defensa estándar pueden ser ineficaces.
Esta vulnerabilidad se ha demostrado públicamente a través de un Proof of Concept (PoC) que utiliza el payload ..=%5c para eludir el filtro. Aunque no se han reportado casos de explotación activa a gran escala, la disponibilidad del PoC y la naturaleza crítica de la vulnerabilidad sugieren un riesgo significativo. La vulnerabilidad fue publicada el 2 de enero de 2025. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Applications that utilize the path-sanitizer package for file path sanitization are at risk. This includes web applications, backend services, and any Node.js projects that rely on this package to prevent path traversal vulnerabilities. Shared hosting environments where multiple applications share the same Node.js installation are particularly vulnerable.
• nodejs / supply-chain:
npm list path-sanitizer• nodejs / supply-chain:
npm audit path-sanitizer• generic web:
curl -I 'https://example.com/path/to/file..=%5c' # Check for directory traversaldisclosure
Estado del Exploit
EPSS
0.60% (69% percentil)
CISA SSVC
La mitigación principal para CVE-2024-56198 es actualizar el paquete path-sanitizer a la versión 3.1.0 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación de entrada robusta en la aplicación para garantizar que las rutas proporcionadas por el usuario sean seguras y no contengan secuencias de escape o caracteres especiales que puedan ser utilizados para eludir el saneamiento. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique después de la actualización que la ruta de acceso se está sanitizando correctamente mediante pruebas unitarias y de integración.
Actualice el paquete path-sanitizer a la versión 3.1.0 o superior. Esto solucionará la vulnerabilidad de path traversal. Ejecute `npm install path-sanitizer@latest` o `yarn upgrade path-sanitizer` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-56198 es una vulnerabilidad de path traversal en el paquete npm path-sanitizer que permite a los atacantes acceder a archivos arbitrarios en el sistema.
Si está utilizando una versión de path-sanitizer anterior a 3.1.0, es vulnerable a esta vulnerabilidad.
Actualice el paquete path-sanitizer a la versión 3.1.0 o superior. Implemente validación de entrada robusta si la actualización no es posible inmediatamente.
Aunque no se han reportado casos de explotación activa a gran escala, la disponibilidad de un PoC sugiere un riesgo significativo.
Consulte la página del paquete npm path-sanitizer en npmjs.com para obtener información actualizada y avisos.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.