Plateforme
nodejs
Composant
@oakserver/oak
Corrigé dans
17.1.4
14.1.1
La vulnérabilité CVE-2024-49770 est une faille de traversal de chemin (Path Traversal) affectant la bibliothèque @oakserver/oak, un framework Node.js. Elle permet à un attaquant de contourner les protections mises en place pour empêcher l'accès aux fichiers cachés en encodant les caractères / en %2F. Cette vulnérabilité touche les versions de @oakserver/oak inférieures ou égales à 14.1.0. La mise à jour vers la version 17.1.3 corrige ce problème.
Cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles sur le serveur, potentiellement contenant des informations de configuration, des clés API, ou des données utilisateur. L'attaquant peut contourner les mécanismes de protection des fichiers cachés en utilisant l'encodage URL, ce qui rend l'exploitation relativement simple. L'impact est significatif car l'accès non autorisé à ces fichiers peut compromettre la sécurité globale de l'application et de l'infrastructure sous-jacente. Une exploitation réussie pourrait mener à la divulgation d'informations confidentielles, à la modification de fichiers système, voire à la prise de contrôle du serveur.
La vulnérabilité CVE-2024-49770 a été rendue publique le 1er novembre 2024. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Des preuves de concept (PoC) pourraient être disponibles publiquement, ce qui pourrait augmenter le risque d'exploitation. La sévérité est classée comme élevée (CVSS 7.5) en raison de la facilité d'exploitation et de l'impact potentiel.
Applications and services built using @oakserver/oak versions prior to 17.1.3 are at risk. This includes web applications, APIs, and other backend systems that rely on @oakserver/oak for routing and file handling. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially expose files from others.
• nodejs / server:
npm list @oakserver/oak• nodejs / server:
find / -name "node_modules/@oakserver/oak/send.ts" -print• nodejs / server:
grep -r '%2F' /path/to/oak/project/disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque @oakserver/oak vers la version 17.1.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à renforcer la validation des entrées utilisateur et à s'assurer que les chemins d'accès aux fichiers sont correctement filtrés et désinfectés. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences d'encodage URL suspectes, telles que %2F. Vérifiez après la mise à jour que les fichiers cachés ne sont plus accessibles via des requêtes manipulées.
Actualice la dependencia `oak` a la versión 17.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite el acceso a archivos ocultos. Ejecute `npm update oak` o `yarn upgrade oak` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-49770 is a Path Traversal vulnerability in @oakserver/oak that allows attackers to bypass hidden file restrictions by URL encoding / as %2F, potentially exposing sensitive data.
Yes, if you are using @oakserver/oak versions less than or equal to 14.1.0, you are affected by this vulnerability.
Upgrade to version 17.1.3 or later of @oakserver/oak to remediate the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the ease of exploitation suggests a potential risk.
Refer to the @oakserver/oak project's repository and release notes for the official advisory and details on the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.