Plateforme
python
Composant
widgetti/solara
Corrigé dans
1.35.2
Une vulnérabilité d'Inclusion Locale de Fichier (LFI) a été découverte dans Solara, un framework Python pour le développement d'applications web et Jupyter. Cette faille, présente dans les versions inférieures ou égales à 1.35.1, permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers local. La vulnérabilité a été corrigée dans la version 1.35.1 et il est fortement recommandé de mettre à jour.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles présents sur le serveur hébergeant l'application Solara. Cela peut inclure des fichiers de configuration contenant des informations d'identification, des clés API, ou des données confidentielles. L'attaquant pourrait potentiellement accéder à des informations critiques pour le fonctionnement de l'application ou même compromettre l'ensemble du système. Bien que l'accès soit limité à la lecture, la quantité d'informations accessibles peut être significative et mener à d'autres attaques.
Cette vulnérabilité est publique depuis le 12 juillet 2024. Aucune preuve d'exploitation active n'a été signalée à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la popularité de Solara. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Organizations deploying Solara for web applications, particularly those serving sensitive data or running in environments with limited security controls, are at risk. Shared hosting environments where users have the ability to influence URI parameters are also particularly vulnerable.
• python / server:
# Check for vulnerable Solara versions
python -c "import solara; print(solara.__version__)"• generic web:
# Check for URI fragment manipulation attempts in access logs
grep -i '..\/' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
46.55% (percentile 98%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Solara vers la version 1.35.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est crucial de restreindre l'accès aux fichiers sensibles et de mettre en place des contrôles d'accès stricts. Envisager l'utilisation d'un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de répertoire comme '../'. Surveiller les journaux d'accès pour détecter des tentatives d'accès à des fichiers non autorisés.
Actualice la biblioteca Solara a la versión 1.35.1 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install solara --upgrade`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-39903 is a Local File Inclusion vulnerability in Solara versions 1.35.1 and earlier, allowing attackers to read arbitrary files on the server.
You are affected if you are using Solara versions less than or equal to 1.35.1. Upgrade to 1.35.1 or later to resolve the vulnerability.
Upgrade Solara to version 1.35.1 or later. Consider implementing WAF rules to block malicious URI fragments as a temporary workaround.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the Solara project's official release notes and security advisories on their GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.