Plataforma
python
Componente
aim
Corregido en
3.22.1
El CVE-2024-6851 es una vulnerabilidad de Path Traversal descubierta en aimhubio/aim, una herramienta de seguimiento. Esta falla permite a un atacante, a través de la manipulación de patrones glob en la función LocalFileManager._cleanup, eliminar archivos arbitrarios fuera del directorio gestionado por LocalFileManager. La vulnerabilidad afecta a versiones 3.22.0 y anteriores, y su explotación exitosa podría comprometer la integridad de los datos del sistema.
La principal consecuencia de esta vulnerabilidad es la posibilidad de eliminación no autorizada de archivos. Un atacante podría, mediante la inyección de patrones glob maliciosos, borrar archivos críticos del sistema, incluyendo configuraciones, datos de seguimiento o incluso archivos del sistema operativo. Esto podría resultar en la interrupción del servicio, pérdida de datos y, en casos extremos, la toma de control del sistema. La falta de validación de los patrones glob permite a un atacante eludir las protecciones de seguridad y acceder a recursos que normalmente estarían fuera de su alcance. La severidad de este impacto se agrava si el sistema aim está integrado con otros sistemas o almacena información sensible.
El CVE-2024-6851 fue publicado el 20 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. La probabilidad de explotación se considera baja a moderada, dado el tiempo transcurrido desde la publicación y la falta de evidencia de explotación activa. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad.
Organizations and individuals utilizing aimhubio/aim versions 3.22.0 and earlier, particularly those running the tracking server in environments with limited access controls or where the file cleanup functionality is enabled without proper validation, are at significant risk. Shared hosting environments where multiple users have access to the aimhubio/aim installation are also particularly vulnerable.
• python / server:
import os
import glob
def check_file_deletion(directory, pattern):
try:
files = glob.glob(os.path.join(directory, pattern))
for file in files:
if not file.startswith(directory):
print(f"Potential Path Traversal: File {file} outside of directory {directory}")
except Exception as e:
print(f"Error during glob check: {e}")
# Example usage (replace with actual directory and pattern)
directory = '/path/to/aimhubio/aim/data' # Replace with the actual data directory
patter = '*/temp/*' # Replace with the pattern being used
check_file_deletion(directory, pattern)disclosure
Estado del Exploit
EPSS
0.38% (60% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2024-6851 es actualizar a una versión de aimhubio/aim que haya sido parcheada para corregir esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar el acceso a la función LocalFileManager.cleanup. Esto podría incluir la restricción de usuarios que pueden ejecutar la función, la validación rigurosa de los patrones glob proporcionados por el usuario y la implementación de un sistema de permisos que limite el acceso a los archivos. Además, se recomienda monitorear los registros del sistema en busca de actividad sospechosa relacionada con la función LocalFileManager.cleanup.
Actualice la biblioteca aimhubio/aim a una versión posterior a la 3.22.0 que corrija la vulnerabilidad. Esto evitará la eliminación arbitraria de archivos debido a un patrón glob malicioso. Consulte las notas de la versión para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-6851 is a Path Traversal vulnerability in aimhubio/aim versions up to 3.22.0, allowing attackers to delete arbitrary files using a malicious glob-pattern.
You are affected if you are using aimhubio/aim version 3.22.0 or earlier. Upgrade to a patched version as soon as it becomes available.
Upgrade to a patched version of aimhubio/aim. Until then, restrict access to the file cleanup function and implement strict input validation on glob-patterns.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply mitigations proactively.
Refer to the aimhubio project's official website and GitHub repository for updates and security advisories regarding CVE-2024-6851.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.