Plateforme
python
Composant
netease-youdao/qanything
Une vulnérabilité d'inclusion locale de fichier (LFI) a été découverte dans qanything, développé par netease-youdao, affectant les versions jusqu'à la dernière. Cette faille permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers, compromettant potentiellement des informations sensibles. La mise à jour vers la dernière version est recommandée pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur. Cela peut inclure des fichiers de configuration contenant des mots de passe, des clés SSH privées, du code source et d'autres données sensibles. L'accès à ces informations pourrait permettre à l'attaquant d'exécuter du code à distance, de compromettre davantage le système et d'accéder à des données confidentielles. La portée de l'attaque dépendra des permissions de l'utilisateur exécutant le code vulnérable et des fichiers accessibles.
Cette vulnérabilité est publique depuis le 20 mars 2025. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la nature de la vulnérabilité LFI la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction avec l'application et de la disponibilité potentielle de preuves de concept. Cette vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA à ce jour.
Systems running qanything in production environments, particularly those with default configurations or inadequate access controls, are at significant risk. Development environments and testing servers also face exposure. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's qanything instance could lead to the compromise of the entire server.
• python / server:
import os
import requests
url = 'http://your-qanything-server/qanything?file='
# Attempt to read a sensitive file (replace with a known path)
try:
response = requests.get(url + '/etc/passwd')
if response.status_code == 200:
print('Potential LFI detected: File content retrieved.')
else:
print('File access denied.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• linux / server:
journalctl -u qanything -f | grep -i "file:"• generic web:
curl -I http://your-qanything-server/qanything?file=/etc/passwddisclosure
Statut de l'Exploit
EPSS
0.25% (percentile 48%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour qanything vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Limitez l'accès aux fichiers sensibles en modifiant les permissions du système de fichiers. Configurez un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes ciblant les fichiers sensibles. Surveillez les journaux du serveur pour détecter toute tentative d'accès non autorisé aux fichiers.
Actualice qanything a una versión posterior a la 2.0.0 que corrija la vulnerabilidad de inclusión de archivos locales. Consulte las notas de la versión o el registro de cambios del proyecto para obtener más detalles sobre la corrección. Como medida temporal, restrinja el acceso a los archivos sensibles del sistema y valide las entradas de los usuarios para evitar la manipulación de rutas de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12866 is a Local File Inclusion vulnerability in the qanything Python application, allowing attackers to read arbitrary files.
You are affected if you are using qanything version ≤ latest. Check your installed version and upgrade as soon as a patch is available.
Upgrade to a patched version of qanything. Until a patch is available, restrict file access and validate input.
There are currently no known active exploits, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the netease-youdao project repository and relevant security mailing lists for updates on the advisory and patch release.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.