Plateforme
python
Composant
devika
Corrigé dans
-
Une vulnérabilité de traversal de répertoire a été découverte dans le dépôt stitionai/devika, affectant la dernière version. Cette faille permet à des attaquants d'exploiter le paramètre 'projectname' dans une requête GET à l'endpoint /api/download-project pour télécharger des fichiers arbitraires du système. L'absence de validation adéquate des entrées dans la fonction 'downloadproject' est à l'origine de ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de télécharger des fichiers sensibles stockés sur le serveur. Cela peut inclure des informations confidentielles telles que des clés API, des mots de passe, des données de configuration ou même le code source de l'application. L'attaquant pourrait potentiellement compromettre l'intégrité du système et voler des données sensibles. Le risque de divulgation de données est élevé, et une exploitation réussie pourrait avoir des conséquences significatives pour la confidentialité et la sécurité des informations.
Cette vulnérabilité a été rendue publique le 27 juin 2024. Il n'y a pas d'indication d'exploitation active à ce jour, ni d'ajout au KEV. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une interaction avec l'endpoint et de la complexité potentielle de l'exploitation. Des preuves de concept publiques pourraient émerger.
Organizations deploying Devika in environments with inadequate input validation or access controls are at risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other users' data through this vulnerability. Systems with legacy configurations or those lacking robust security monitoring are also at increased risk.
• linux / server: Monitor access logs for requests to /api/download-project containing suspicious characters like ../ or absolute paths. Use grep to search for these patterns.
grep 'project_name=.*\.\.' /var/log/nginx/access.log• generic web: Use curl to test the endpoint with various payloads containing path traversal sequences.
curl 'http://your-devika-server/api/download-project?project_name=../../../../etc/passwd'• generic web: Examine response headers for unexpected content types or file extensions that indicate unauthorized file access.
• linux / server: Use auditd to monitor access to sensitive files and directories. Create an audit rule to log attempts to access files outside the intended directory.
auditctl -w / -p wa -k devika_traversaldisclosure
Statut de l'Exploit
EPSS
0.89% (percentile 75%)
CISA SSVC
Vecteur CVSS
En l'absence de version corrigée, la mitigation immédiate consiste à désactiver temporairement l'endpoint /api/download-project ou à restreindre l'accès à celui-ci aux utilisateurs autorisés uniquement. Implémentez une validation stricte des entrées pour le paramètre 'project_name', en utilisant une liste blanche de caractères autorisés et en vérifiant que le chemin d'accès résultant se trouve bien dans le répertoire prévu. Surveillez les journaux d'accès pour détecter toute tentative d'exploitation de cette vulnérabilité. Une fois disponible, appliquez la mise à jour de sécurité fournie par l'équipe de développement de devika.
Actualice a la última versión de devika. El commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 contiene la solución a la vulnerabilidad. Asegúrese de validar y sanitizar correctamente la entrada 'project_name' para evitar el recorrido de directorios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-5548 is a directory traversal vulnerability in the stitionai/devika repository, allowing attackers to download arbitrary files by manipulating the project_name parameter. It has a CVSS score of 7.5 (HIGH).
All versions of the stitionai/devika repository are affected by this vulnerability due to insufficient input validation. If you are using Devika, you are potentially at risk.
Currently, no official fix is available. Mitigate by implementing WAF rules, restricting access to the /api/download-project endpoint, and enforcing strict access controls on the file system.
As of now, there is no confirmed evidence of active exploitation campaigns targeting CVE-2024-5548, but the high CVSS score suggests a potential risk.
Refer to the stitionai/devika repository for updates and advisories related to CVE-2024-5548. Check their GitHub repository for announcements.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.