Plateforme
python
Composant
litestar-org/litestar
Corrigé dans
2.8.1
1.37.1
2.7.1
2.0.1
Une vulnérabilité de type Path Traversal a été découverte dans Litestar, un framework ASGI (Asynchronous Server Gateway Interface). Cette faille permet à des attaquants d'accéder à des fichiers sensibles en dehors des répertoires désignés, compromettant potentiellement la sécurité du serveur. Elle affecte les versions 2.0.0–>= 2.8.0, < 2.8.3 et a été corrigée dans la version 2.8.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers du serveur. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe ou d'autres données confidentielles. L'attaquant pourrait également accéder à des fichiers contenant du code source, ce qui pourrait révéler d'autres vulnérabilités potentielles. Le risque est exacerbé si le serveur héberge des applications web ou des services qui traitent des données sensibles des utilisateurs. Une compromission réussie pourrait entraîner une divulgation de données, une perte de confidentialité et une atteinte à l'intégrité du système.
Cette vulnérabilité est actuellement publique et sa complexité d'exploitation est considérée comme faible. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la disponibilité d'une preuve de concept (PoC) publique augmente le risque d'exploitation. La vulnérabilité a été publiée le 6 mai 2024. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter d'éventuelles campagnes d'exploitation.
Applications and services built using Litestar, particularly those serving static content, are at risk. This includes deployments utilizing custom static file serving configurations or those with inadequate input validation. Shared hosting environments where multiple applications share the same server and file system are also particularly vulnerable.
• python / server:
import os
import requests
url = 'http://your-litestar-server/static/../../../../etc/passwd' # Example path traversal attempt
response = requests.get(url)
if response.status_code == 200:
print('Potential vulnerability detected: Path traversal successful!')
print(response.text)
else:
print('Path traversal attempt failed.')• linux / server:
journalctl -u litestar -f | grep "path traversal"• generic web:
curl -I http://your-litestar-server/static/../../../../etc/passwdCheck the response headers for any unexpected content or errors.
disclosure
Statut de l'Exploit
EPSS
0.23% (percentile 45%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace consiste à mettre à jour Litestar vers la version 2.8.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès aux fichiers statiques en configurant correctement les permissions du système de fichiers. Implémentez des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou des chemins absolus. Surveillez les journaux d'accès et d'erreur pour détecter les tentatives d'accès non autorisées aux fichiers.
Actualice Litestar a la versión 2.8.3, 2.7.2 o 2.6.4, o superior. Esto corrige la vulnerabilidad de path traversal en el componente de servicio de archivos estáticos. La actualización previene el acceso no autorizado a archivos sensibles fuera de los directorios designados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-32982 is a Path Traversal vulnerability affecting Litestar versions 2.0.0–>= 2.8.0 < 2.8.3, allowing attackers to access sensitive files outside designated directories.
You are affected if you are using Litestar versions 2.0.0 through 2.8.2 (excluding 2.8.3).
Upgrade to Litestar version 2.8.3 or later to remediate the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
There is currently no indication of active exploitation campaigns, but public PoCs are likely to emerge.
Refer to the Litestar project's security advisories and release notes for the official announcement and details: [https://litestar.dev/](https://litestar.dev/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.