Plataforma
python
Componente
devika
Corregido en
-
La vulnerabilidad CVE-2024-6433 afecta a la aplicación devika, permitiendo la lectura arbitraria de archivos. Un atacante puede explotar esta falla proporcionando una ruta maliciosa en el parámetro snapshot_path, comprometiendo la confidencialidad de datos sensibles. Las versiones afectadas son todas las anteriores a la no especificada. Se recomienda implementar medidas de mitigación y esperar la publicación de una actualización oficial.
Esta vulnerabilidad permite a un atacante leer cualquier archivo al que la aplicación tenga acceso, independientemente de sus permisos normales. Esto incluye archivos de configuración, claves API, contraseñas y otros datos confidenciales. El impacto potencial es significativo, ya que un atacante podría obtener acceso a información crítica del sistema y utilizarla para realizar ataques adicionales, como la escalada de privilegios o el robo de datos. La falta de una versión fija disponible agrava el riesgo, ya que no hay una solución inmediata.
La vulnerabilidad fue publicada el 10 de julio de 2024. No se ha confirmado la explotación activa en entornos reales, pero la facilidad de explotación y la falta de una solución inmediata la convierten en un objetivo atractivo para los atacantes. No se ha añadido a KEV ni se conoce la existencia de un PoC público. La severidad se evalúa como ALTA (CVSS 7.5).
Organizations deploying devika in environments where user input directly influences file access are at risk. This includes deployments with weak input validation or where the application's user account has excessive permissions. Shared hosting environments where multiple users share the same devika instance are also particularly vulnerable.
• python / server:
grep -r 'snapshot_path=' /path/to/devika/source_code• generic web:
curl -I 'http://your-devika-instance/zip?snapshot_path=../../../../etc/passwd' # Check for 200 OK responsedisclosure
Estado del Exploit
EPSS
0.41% (61% percentil)
CISA SSVC
Vector CVSS
Dado que no se ha publicado una versión corregida, la mitigación se centra en la validación de entrada y el control de acceso. Implemente una validación estricta del parámetro snapshot_path para asegurar que solo contenga rutas permitidas. Utilice listas blancas para definir las rutas válidas y rechace cualquier entrada que no coincida. Además, revise y refuerce los permisos de acceso a los archivos y directorios para limitar el alcance de la vulnerabilidad. Monitoree los registros de la aplicación en busca de intentos de acceso no autorizados.
Actualice la biblioteca stitionai/devika a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Asegúrese de validar y sanitizar correctamente las rutas proporcionadas por el usuario antes de utilizarlas para crear archivos ZIP. Evite permitir que los usuarios especifiquen rutas arbitrarias en el sistema de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-6433 is a vulnerability in devika that allows an attacker to read arbitrary files by manipulating the snapshot_path parameter. It is rated as HIGH severity with a CVSS score of 7.5.
You are affected if you are using devika prior to a patch release. The vulnerability impacts versions before a fix is available.
Currently, there is no fixed version available. Mitigation involves strict input validation on the snapshot_path parameter and restricting the application's user account permissions.
There are currently no known public exploits or confirmed active exploitation campaigns for CVE-2024-6433.
Refer to the devika project's official website or GitHub repository for updates and advisories related to CVE-2024-6433.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.