Plateforme
other
Composant
anka-build
Corrigé dans
1.42.1
Une vulnérabilité de traversal de répertoire a été découverte dans la fonctionnalité de téléchargement des fichiers journaux de Veertu Anka Build. Cette faille permet à un attaquant d'accéder à des fichiers sensibles en envoyant une requête HTTP spécialement conçue. Les versions affectées sont 1.42.0. Une correction est disponible dans la version 1.42.1.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de contourner les contrôles d'accès et de télécharger des fichiers arbitraires du système de fichiers du serveur Anka Build. Cela pourrait inclure des informations de configuration sensibles, des clés privées, ou d'autres données confidentielles. L'attaquant pourrait potentiellement obtenir un accès non autorisé à l'infrastructure sous-jacente, en fonction des permissions du compte utilisé par le processus Anka Build. Bien qu'il n'y ait pas de rapport d'exploitation publique à ce jour, la simplicité de l'exploitation rend cette vulnérabilité préoccupante.
Cette vulnérabilité a été publiée le 3 octobre 2024. Elle n'a pas encore été ajoutée au catalogue KEV de CISA, ni est-elle associée à une campagne d'exploitation active connue. Un proof-of-concept public n'est pas encore disponible, mais la nature simple de la vulnérabilité suggère qu'il pourrait en émerger rapidement.
Organizations utilizing Veertu Anka Build version 1.42.0, particularly those with publicly accessible log file download endpoints, are at risk. Shared hosting environments where multiple users share the same Anka Build instance are also potentially vulnerable.
disclosure
Statut de l'Exploit
EPSS
5.24% (percentile 90%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Veertu Anka Build vers la version 1.42.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de restreindre l'accès au serveur Anka Build et de surveiller les journaux d'accès pour détecter toute activité suspecte. Si une mise à jour n'est pas immédiatement possible, envisagez de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de répertoire (par exemple, ../). Vérifiez après la mise à jour que la fonctionnalité de téléchargement des journaux est correctement sécurisée et que les contrôles d'accès sont en place.
Actualice a una versión parcheada de Veertu Anka Build que solucione la vulnerabilidad de path traversal. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las actualizaciones de seguridad tan pronto como estén disponibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-41922 is a directory traversal vulnerability in Veertu Anka Build versions 1.42.0, allowing attackers to potentially access sensitive files via HTTP requests.
If you are using Veertu Anka Build version 1.42.0, you are potentially affected by this vulnerability. Upgrade to 1.42.1 or later to mitigate the risk.
The recommended fix is to upgrade Veertu Anka Build to version 1.42.1 or a later version. As a temporary workaround, restrict access to the log file download endpoint using a WAF.
As of the current date, there are no confirmed reports of CVE-2024-41922 being actively exploited in the wild.
Please refer to the Veertu security advisory for CVE-2024-41922 on the Veertu website for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.