Plataforma
python
Componente
dosage
Corregido en
3.2.1
3.2
CVE-2025-64184 es una vulnerabilidad de Directory Traversal descubierta en Dosage, una aplicación Python para descargar y organizar webcomics. Esta vulnerabilidad permite a un atacante remoto, o a un atacante Man-in-the-Middle si la webcomic se sirve a través de HTTP, escribir archivos arbitrarios fuera del directorio de destino. La vulnerabilidad afecta a versiones de Dosage menores o iguales a 3.1 y ha sido solucionada en la versión 3.2.
La vulnerabilidad de Directory Traversal en Dosage se explota al descargar imágenes de comic. La aplicación construye nombres de archivo de destino a partir de diferentes partes de la webcomic remota, incluyendo la URL de la página y la URL de la imagen. Aunque el nombre base se limpia de caracteres de recorrido de directorio, la extensión del archivo se toma del encabezado HTTP Content-Type. Esto permite a un atacante controlar la extensión del archivo y, bajo ciertas condiciones, escribir archivos en ubicaciones arbitrarias en el sistema de archivos del servidor. El impacto potencial es significativo, ya que un atacante podría sobrescribir archivos de configuración críticos, ejecutar código malicioso o comprometer la integridad del sistema.
Esta vulnerabilidad fue publicada el 4 de noviembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Directory Traversal) la hace susceptible a escaneos automatizados y explotación. No se ha añadido a KEV al momento de la redacción. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
Systems running vulnerable versions of Dosage (≤3.1) are at risk, particularly those serving comics over HTTP rather than HTTPS, making them susceptible to Man-in-the-Middle attacks. Shared hosting environments where multiple users share the same Dosage instance are also at increased risk, as an attacker could potentially exploit the vulnerability to affect other users' files.
• python / server:
# Check for vulnerable versions of Dosage
python3 -c 'import dosage; print(dosage.__version__)'• generic web:
# Check access logs for unusual file creation attempts or unexpected file extensions
grep -i 'Content-Type: image/.*' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.20% (42% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-64184 es actualizar a la versión 3.2 de Dosage, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta del encabezado Content-Type antes de utilizarlo para determinar la extensión del archivo. Además, se debe restringir los permisos de escritura del directorio donde se guardan las imágenes descargadas para limitar el daño potencial en caso de una explotación exitosa. Se recomienda monitorear los registros del servidor en busca de intentos de escritura de archivos fuera del directorio esperado.
Actualice Dosage a la versión 3.2 o superior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente la extensión del archivo basada en el contenido en lugar de la cabecera HTTP Content-Type. Esto evitará que un atacante escriba archivos fuera del directorio deseado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64184 is a Directory Traversal vulnerability in Dosage Comic Server versions 3.1 and earlier, allowing attackers to potentially write arbitrary files outside the intended directory by manipulating HTTP Content-Type headers.
You are affected if you are running Dosage Comic Server version 3.1 or earlier. Upgrade to version 3.2 or later to mitigate the vulnerability.
Upgrade Dosage Comic Server to version 3.2 or later. As an interim measure, implement a WAF or proxy to filter HTTP Content-Type headers.
As of the current assessment, there are no known public exploits or active campaigns targeting CVE-2025-64184.
Refer to the official Dosage GitHub repository for updates and advisories: https://github.com/webcomics/dosage
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.