Plateforme
python
Composant
mss
Corrigé dans
5.0.1
La vulnérabilité CVE-2024-25123 affecte le système Mission Support System (MSS), un package open source pour la planification de vols de recherche atmosphérique. Elle réside dans le fichier index.py et permet une manipulation de chemin, donnant à un attaquant la possibilité d'accéder à des informations sensibles. Les versions concernées sont celles comprises entre 5.0.0 (inclus) et 8.3.3 (exclus). Une version corrigée, 8.3.3, est désormais disponible.
Cette vulnérabilité de manipulation de chemin permet à un attaquant de compromettre la confidentialité des données stockées sur le système MSS. En injectant des séquences ../ dans les paramètres de route filename, l'attaquant peut contrôler le chemin du fichier lu par l'application. Cela peut conduire à la divulgation d'informations sensibles, telles que des fichiers de configuration, des données de recherche ou d'autres fichiers accessibles au processus de l'application. L'impact potentiel est élevé, car un attaquant pourrait compromettre l'intégrité et la confidentialité des données de recherche atmosphérique. Bien qu'il n'y ait pas d'exemples publics d'exploitation directe, la nature de la vulnérabilité est similaire à d'autres attaques de traversal de répertoire, ce qui rend l'exploitation potentiellement réalisable.
La vulnérabilité CVE-2024-25123 a été publiée le 15 février 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Aucun proof-of-concept public n'est actuellement disponible, mais la vulnérabilité est facilement compréhensible et pourrait être exploitée par des attaquants ayant des compétences techniques de base.
Organizations and researchers utilizing the Mission Support System for atmospheric flight planning are at risk. Specifically, deployments using older versions (5.0.0 through 8.3.2) are vulnerable. Those running the MSS in environments with limited access controls or where sensitive data is stored in accessible locations are at higher risk.
• python / application:
import os
import requests
url = 'http://target/index?file=../../../../etc/passwd' # Example path traversal attempt
response = requests.get(url)
if 'root:' in response.text:
print('Potential vulnerability detected!')• generic web:
curl 'http://target/index?file=../../../../etc/passwd' > output.txt && grep 'root:' output.txtdisclosure
Statut de l'Exploit
EPSS
0.22% (percentile 44%)
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau Mission Support System vers la version 8.3.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement temporaire consiste à valider et à nettoyer rigoureusement toutes les entrées utilisateur, en particulier le paramètre filename, pour empêcher l'injection de séquences ../. L'utilisation d'une Web Application Firewall (WAF) avec des règles spécifiques pour bloquer les tentatives de traversal de répertoire peut également aider à atténuer le risque. Il est également recommandé de restreindre les permissions d'accès aux fichiers et répertoires du système pour limiter l'impact potentiel d'une exploitation réussie.
Actualice el paquete MSS a la versión 8.3.3 o superior. Esto corrige la vulnerabilidad de manipulación de ruta. Puede actualizar usando `pip install --upgrade mss`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-25123 is a HIGH severity vulnerability affecting Mission Support System versions 5.0.0 through 8.3.2. It allows attackers to manipulate file paths to access sensitive information.
You are affected if you are using Mission Support System versions 5.0.0 through 8.3.2. Upgrade to version 8.3.3 to resolve the vulnerability.
Upgrade to version 8.3.3 of Mission Support System. As a temporary workaround, implement input validation on the filename parameter to prevent path traversal.
There are currently no known public exploits or active campaigns targeting CVE-2024-25123, but its ease of exploitation warrants attention.
Refer to the official Mission Support System project repository and associated security advisories for the latest information on CVE-2024-25123.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.