Plateforme
nodejs
Composant
serve
Corrigé dans
7.1.4
7.1.3
CVE-2019-5417 est une vulnérabilité de type Directory Traversal affectant le package 'serve'. Elle permet un accès non autorisé aux fichiers système en raison d'une mauvaise gestion des chemins d'accès. Les versions de 'serve' antérieures à la version 7.1.3 sont concernées. La version 7.1.3 corrige cette faille.
La vulnérabilité CVE-2019-5417 dans serve permet aux attaquants de réaliser des attaques de traversée de répertoire (Directory Traversal). Cela est dû à une validation insuffisante des chemins de fichiers, permettant à un attaquant d'accéder à des fichiers et répertoires sensibles sur le système d'exploitation sous-jacent. Un attaquant pourrait potentiellement lire des fichiers de configuration, du code source ou d'autres données confidentielles qui ne devraient pas être accessibles depuis l'extérieur. La gravité de cette vulnérabilité est notée 7.5 sur l'échelle CVSS, indiquant un risque significatif. L'absence de sanitisation des chemins de fichiers expose le système à des risques de sécurité considérables, en particulier dans les environnements où serve est utilisé pour servir du contenu web à partir d'emplacements non contrôlés.
Cette vulnérabilité est exploitée en manipulant les chemins de fichiers fournis à l'outil serve. Un attaquant pourrait utiliser des séquences telles que ../ pour naviguer en dehors du répertoire racine prévu et accéder à des fichiers situés dans des emplacements non autorisés. L'exploitation est relativement simple et ne nécessite pas de compétences techniques avancées. Le risque est plus élevé dans les environnements où serve est utilisé pour servir du contenu à partir d'un répertoire que l'attaquant peut contrôler, car cela lui permet d'injecter des chemins malveillants. La vulnérabilité affecte toutes les versions de serve antérieures à 7.1.3.
Statut de l'Exploit
EPSS
0.61% (percentile 70%)
Vecteur CVSS
La solution recommandée pour atténuer la vulnérabilité CVE-2019-5417 est de mettre à niveau la version de serve vers 7.1.3 ou une version ultérieure. Ces versions incluent des correctifs qui valident et sanitisent les chemins de fichiers, empêchant ainsi tout accès non autorisé. Si une mise à niveau immédiate n'est pas possible, il est recommandé de mettre en œuvre des contrôles d'accès stricts sur le système de fichiers afin de limiter l'accès aux répertoires sensibles. De plus, la configuration de serve doit être examinée et auditée pour s'assurer que seuls les fichiers et répertoires prévus sont servis. La mise à niveau est la mesure la plus efficace et est fortement recommandée pour se protéger contre cette vulnérabilité.
Actualice el paquete 'serve' a la versión 7.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios en el servidor remoto. Ejecute 'npm install serve@latest' para obtener la versión más reciente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une attaque de sécurité qui permet à un attaquant d'accéder à des fichiers et des répertoires sur un serveur web auxquels il ne devrait pas avoir accès. Cela est réalisé en manipulant les chemins de fichiers.
Vous pouvez vérifier la version de serve en exécutant la commande serve --version dans votre terminal.
Mettez en œuvre des contrôles d'accès stricts sur le système de fichiers et examinez la configuration de serve.
Oui, toutes les versions antérieures à 7.1.3 sont vulnérables.
Vous pouvez trouver plus d'informations dans l'entrée CVE-2019-5417 dans la base de données des vulnérabilités Common Vulnerabilities and Exposures (CVE).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.