Plateforme
python
Composant
devika
Corrigé dans
-
Une vulnérabilité de traversal de répertoire a été découverte dans l'endpoint /api/download-project-pdf du dépôt stitionai/devika. Cette faille, due à une validation insuffisante du paramètre project_name, permet à un attaquant de manipuler ce paramètre dans une requête GET pour accéder à des fichiers PDF arbitraires en dehors du répertoire prévu. Bien que la version exacte affectée ne soit pas précisée, elle concerne les versions antérieures à la correction. Une correction n'est pas encore disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de télécharger des fichiers PDF arbitraires hébergés sur le système. Cela peut inclure des documents confidentiels, des informations sensibles ou des données personnelles stockées au format PDF. L'attaquant pourrait ainsi obtenir un accès non autorisé à des informations critiques, compromettant potentiellement la confidentialité et l'intégrité des données. Le risque est amplifié si le serveur héberge des PDF contenant des informations d'identification, des clés API ou d'autres données sensibles. Bien que le dépôt soit open-source, son utilisation dans des environnements de production pourrait exposer des systèmes à des attaques.
Cette vulnérabilité est publique depuis le 27 juin 2024. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la disponibilité du code source. Des preuves d'exploitation active n'ont pas été signalées, mais la publication du CVE augmente le risque d'attaques.
Organizations utilizing the stitionai/devika project, particularly those deploying it in production environments without proper security hardening, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as an attacker could potentially access PDF files belonging to other users.
• linux / server:
journalctl -u devika -f | grep "download_project_pdf"• generic web:
curl -I 'http://your-devika-server/api/download-project-pdf?project_name=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200 OKdisclosure
Statut de l'Exploit
EPSS
1.26% (percentile 79%)
CISA SSVC
Vecteur CVSS
En l'absence de correctif officiel, plusieurs mesures d'atténuation peuvent être mises en œuvre. La première consiste à restreindre l'accès à l'endpoint /api/download-project-pdf uniquement aux utilisateurs et aux adresses IP autorisés. Il est crucial de mettre en place une validation stricte du paramètre project_name, en s'assurant qu'il correspond à un motif attendu et qu'il ne contient pas de caractères spéciaux ou de séquences de traversal de répertoire (par exemple, ../). L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malveillantes. Surveiller les journaux d'accès et d'erreurs du serveur pour détecter toute tentative d'exploitation de la vulnérabilité est également recommandé. Après la mise en œuvre de ces mesures, vérifiez l'intégrité du système en effectuant des tests de pénétration.
Actualice la biblioteca devika a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro 'project_name', para evitar el acceso no autorizado a archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-5547 is a Directory Traversal vulnerability in the stitionai/devika project's /api/download-project-pdf endpoint, allowing attackers to download arbitrary PDF files.
If you are using the latest version of stitionai/devika and have not implemented mitigating controls, you are potentially affected by this vulnerability.
Currently, no official fix is available. Mitigate by implementing strict input validation, WAF rules, and restricting file system permissions.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation.
Check the stitionai/devika repository and related communication channels for updates and advisories regarding CVE-2024-5547.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.