Plateforme
other
Composant
boa-web-server
Corrigé dans
The Boa web server is unsupported (EOL)
Le serveur web Boa présente une vulnérabilité de type Path Traversal (CWE-22). Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire web prévu, compromettant potentiellement la confidentialité des données. Le serveur web Boa n'est plus supporté (EOL) et aucune correction n'est disponible. La migration vers un serveur web supporté est fortement recommandée.
Une exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers du serveur web. Cela peut inclure des fichiers de configuration contenant des mots de passe, des clés API, ou d'autres informations sensibles. L'attaquant pourrait également accéder à des fichiers contenant du code source, des données de bases de données, ou d'autres informations critiques pour l'entreprise. Le risque est aggravé par le fait que Boa est souvent utilisé dans des systèmes embarqués ou des applications legacy, où la sécurité est souvent négligée. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la simplicité de l'exploitation rend cette vulnérabilité particulièrement dangereuse.
Cette vulnérabilité a été rendue publique le 14 novembre 2024. Elle n'est pas répertoriée sur KEV à ce jour. L'EPSS score est probablement faible en raison du statut EOL du serveur Boa, limitant le nombre de systèmes vulnérables actifs. Des preuves de concept (PoC) sont susceptibles d'être développées rapidement en raison de la simplicité de la vulnérabilité.
Organizations still utilizing the Boa web server, particularly those running it on legacy systems or embedded devices, are at significant risk. Shared hosting environments where Boa is used are also vulnerable, as a compromise of one user's instance could potentially expose the entire server.
disclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
Étant donné que le serveur web Boa n'est plus supporté, la mitigation principale consiste à migrer vers un serveur web moderne et sécurisé, tel qu'Apache, Nginx ou IIS. Si la migration n'est pas immédiatement possible, il est impératif de désactiver le serveur Boa et de le remplacer par un service temporaire. En attendant la migration, il est possible de renforcer la sécurité en limitant les permissions d'accès au répertoire web et en configurant un pare-feu pour bloquer les requêtes suspectes. Il n'existe pas de correctifs spécifiques, donc l'isolation du serveur Boa est cruciale.
Dado que Boa web server está descontinuado (EOL), la solución es migrar a un servidor web actualizado y mantenido activamente, como Apache o Nginx. Asegúrese de configurar correctamente el nuevo servidor web para evitar vulnerabilidades de path traversal. Revise la configuración de seguridad del nuevo servidor web y aplique las últimas actualizaciones de seguridad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-47916 is a Path Traversal vulnerability affecting the Boa web server, allowing attackers to access arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
If you are using the Boa web server and have not upgraded (which is not possible due to EOL), you are potentially affected. Versions prior to EOL are vulnerable.
Due to the Boa web server being EOL, patching is not possible. Mitigation involves isolating the server, restricting access, and using a WAF.
While no widespread exploitation has been confirmed, the vulnerability's nature and the server's EOL status make it a likely target.
Boa web server is End-of-Life and no longer maintained. Official advisories are unavailable. Refer to the NVD entry for more information: https://nvd.nist.gov/vuln/detail/CVE-2024-47916
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.