Plateforme
python
Composant
devika
Corrigé dans
-
La vulnérabilité CVE-2024-6433 concerne une faille de lecture de fichiers arbitraires dans l'application devika. Cette faille permet à un attaquant de lire des fichiers sensibles sur le système en fournissant un chemin d'accès malveillant via le paramètre snapshot_path. Les versions de devika antérieures à la correction sont affectées. Aucune version corrigée n'a été publiée à ce jour.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de contrôle d'accès et d'accéder à des fichiers qui ne devraient pas être accessibles. Les fichiers potentiellement compromis incluent les fichiers de configuration, les données sensibles des utilisateurs, et même le code source de l'application. Un attaquant pourrait utiliser ces informations pour obtenir un accès non autorisé au système, voler des données confidentielles, ou même compromettre davantage l'application. Bien que le vecteur d'attaque soit limité à l'envoi d'une requête HTTP avec un paramètre malformé, l'impact potentiel est élevé si des fichiers sensibles sont accessibles.
La vulnérabilité a été rendue publique le 10 juillet 2024. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucun proof-of-concept public n'a été signalé, mais la simplicité de l'exploitation rend probable l'émergence de tels outils à court terme. La sévérité est classée comme élevée (CVSS 7.5) en raison du potentiel d'accès à des fichiers arbitraires.
Organizations deploying devika in environments where user input directly influences file access are at risk. This includes deployments with weak input validation or where the application's user account has excessive permissions. Shared hosting environments where multiple users share the same devika instance are also particularly vulnerable.
• python / server:
grep -r 'snapshot_path=' /path/to/devika/source_code• generic web:
curl -I 'http://your-devika-instance/zip?snapshot_path=../../../../etc/passwd' # Check for 200 OK responsedisclosure
Statut de l'Exploit
EPSS
0.41% (percentile 61%)
CISA SSVC
Vecteur CVSS
En l'absence de version corrigée, la mitigation principale consiste à renforcer les contrôles d'accès aux fichiers. Il est crucial de valider et de désinfecter rigoureusement le paramètre snapshot_path avant de l'utiliser pour accéder aux fichiers. Implémentez une liste blanche stricte des chemins d'accès autorisés et rejetez toute requête contenant des chemins d'accès non autorisés ou des caractères spéciaux. Envisagez également de désactiver temporairement la fonctionnalité de compression si elle n'est pas essentielle, afin de réduire la surface d'attaque. Surveillez les journaux d'accès pour détecter les tentatives d'accès non autorisés aux fichiers.
Actualice la biblioteca stitionai/devika a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Asegúrese de validar y sanitizar correctamente las rutas proporcionadas por el usuario antes de utilizarlas para crear archivos ZIP. Evite permitir que los usuarios especifiquen rutas arbitrarias en el sistema de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-6433 is a vulnerability in devika that allows an attacker to read arbitrary files by manipulating the snapshot_path parameter. It is rated as HIGH severity with a CVSS score of 7.5.
You are affected if you are using devika prior to a patch release. The vulnerability impacts versions before a fix is available.
Currently, there is no fixed version available. Mitigation involves strict input validation on the snapshot_path parameter and restricting the application's user account permissions.
There are currently no known public exploits or confirmed active exploitation campaigns for CVE-2024-6433.
Refer to the devika project's official website or GitHub repository for updates and advisories related to CVE-2024-6433.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.