Corregido en
0.55.1
0.55.2
0.55.3
0.55.4
0.55.5
0.55.6
0.55.7
0.56.0
Se ha descubierto una vulnerabilidad crítica de Path Traversal en Upsonic, afectando a versiones hasta la 0.55.6. Esta falla permite a un atacante manipular la ruta de archivos, comprometiendo la confidencialidad de datos sensibles. La vulnerabilidad reside en la función os.path.join del archivo markdown/server.py. La actualización a la versión 0.56.0 soluciona esta vulnerabilidad.
La vulnerabilidad de Path Traversal en Upsonic permite a un atacante, mediante la manipulación del argumento file.filename, acceder a archivos arbitrarios en el sistema de archivos del servidor. Esto podría incluir la lectura de archivos de configuración, contraseñas, claves API u otros datos confidenciales. Un atacante podría, por ejemplo, leer el contenido de archivos fuera del directorio web, exponiendo información sensible. La divulgación pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad la convierte en un objetivo atractivo para atacantes. La alta puntuación CVSS (9.8) indica un riesgo crítico. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles intentos de explotación.
Organizations using Upsonic for content management or data processing, particularly those running versions prior to 0.56.0, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could lead to access to other users' data.
• python / server:
import os
import hashlib
def check_upsonic_vulnerability(filename):
# Simulate the vulnerable function
filepath = os.path.join('markdown', filename)
if '..' in filename:
return True # Path traversal detected
return False
# Example usage
filename = input("Enter filename: ")
if check_upsonic_vulnerability(filename):
print("Potential Path Traversal Vulnerability Detected!")
else:
print("No Path Traversal Detected.")• generic web:
curl -I 'http://your-upsonic-server/markdown/../../../../etc/passwd' # Check for directory traversaldisclosure
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Upsonic a la versión 0.56.0 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al servidor y monitorear los logs en busca de actividad sospechosa. Implementar reglas en un Web Application Firewall (WAF) que bloqueen solicitudes con patrones de path traversal (ej., ../) puede proporcionar una capa adicional de protección. Verificar después de la actualización que la función os.path.join se utiliza correctamente y que las rutas de archivos se validan adecuadamente.
Actualice la biblioteca Upsonic a una versión posterior a 0.55.6, si está disponible, para corregir la vulnerabilidad de path traversal. Si no hay una versión corregida disponible, revise y valide cuidadosamente todas las entradas de nombres de archivo proporcionadas por el usuario antes de usar `os.path.join` para construir rutas de archivo. Considere implementar una lista blanca de rutas permitidas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-6278 es una vulnerabilidad crítica de Path Traversal en Upsonic hasta la versión 0.55.6 que permite a atacantes acceder a archivos sensibles a través de la manipulación de rutas.
Si está utilizando Upsonic en una versión inferior o igual a 0.55.6, es vulnerable a esta vulnerabilidad. Actualice a la versión 0.56.0 o superior para mitigar el riesgo.
La solución es actualizar Upsonic a la versión 0.56.0 o superior. Si la actualización no es posible, implemente reglas WAF y monitoree los logs.
Aunque no se ha confirmado explotación activa en campañas conocidas, la divulgación pública de la vulnerabilidad aumenta la probabilidad de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas.
Consulte el sitio web oficial de Upsonic o los canales de comunicación de la comunidad para obtener el advisory oficial relacionado con CVE-2025-6278.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.