7.0.1
7.0.0
CVE-2019-5415 est une vulnérabilité de type Path Traversal affectant les versions de serve antérieures à 7.0.1. Elle permet d'accéder à des dossiers et fichiers explicitement ignorés via la manipulation du chemin d'accès avec /./. L'impact est la divulgation d'informations sensibles. La version 7.0.0 corrige cette vulnérabilité.
La vulnérabilité CVE-2019-5415 dans serve permet aux attaquants d'accéder à des fichiers et répertoires cachés ou non autorisés par le biais d'une manipulation de chemin. Les versions de serve antérieures à 7.0.1 sont vulnérables à ce problème de traversée de chemin. Plus précisément, l'utilisation de la séquence /./ dans le chemin demandé peut contourner les règles d'exclusion de dossiers définies, permettant l'accès à des contenus sensibles qui seraient normalement protégés. Cela peut inclure des fichiers de configuration, du code source ou des données confidentielles, compromettant la sécurité de l'application ou du serveur utilisant serve. La sévérité CVSS est de 7.5, ce qui indique un risque élevé.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête malveillante à serve qui inclut un chemin manipulé avec /./. Par exemple, tenter d'accéder à un fichier dans un dossier exclu pourrait réussir en incluant /./ dans le chemin. Cela est particulièrement préoccupant dans les environnements de développement ou de test où des fichiers sensibles peuvent être exposés. La facilité d'exploitation et l'impact potentiel sur la confidentialité des données font de cette vulnérabilité une préoccupation majeure.
Development teams using serve to serve static files during development are particularly at risk. Shared hosting environments where users have limited control over their server configuration are also vulnerable if the serve package is installed and not properly updated. Projects relying on older versions of serve in automated build pipelines are also exposed.
• nodejs / server:
npm list serveCheck the version of serve installed in your project. If it's less than 7.0.1, you are vulnerable.
• generic web:
curl -I <yourserveurl>/../../../../etc/passwd
Attempt to access sensitive files using path traversal. A successful response indicates a vulnerability.
disclosure
Statut de l'Exploit
EPSS
0.32% (percentile 55%)
Vecteur CVSS
La solution recommandée pour atténuer cette vulnérabilité est de mettre à niveau vers la version 7.0.1 ou ultérieure de serve. Cette version corrige le problème de traversée de chemin en gérant correctement les chemins contenant la séquence /./. Assurez-vous de sauvegarder votre configuration actuelle avant de mettre à niveau. De plus, examinez les politiques de sécurité de votre application pour vous assurer que des mesures de protection supplémentaires contre l'accès non autorisé aux fichiers et répertoires sont en place. La mise à niveau est le moyen le plus efficace de vous protéger contre cette vulnérabilité et de maintenir l'intégrité de vos données.
Actualice la versión de `serve` a la versión 7.0.1 o superior. Esto corregirá la vulnerabilidad en el manejo de archivos y directorios ignorados, impidiendo que un atacante acceda a recursos no permitidos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La traversée de chemin est une vulnérabilité qui permet à un attaquant d'accéder à des fichiers et répertoires en dehors du répertoire racine prévu d'une application.
Si vous utilisez une version vulnérable de serve, un attaquant pourrait accéder à des fichiers confidentiels, compromettant la sécurité de votre application.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès au serveur et la surveillance des activités suspectes.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données des vulnérabilités du NIST : https://nvd.nist.gov/vuln/detail/CVE-2019-5415
Il existe des outils d'analyse de sécurité qui peuvent détecter cette vulnérabilité. Consultez votre équipe de sécurité pour obtenir des recommandations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.