Plateforme
other
Composant
calibre
Corrigé dans
7.14.1
La vulnérabilité CVE-2024-6781 est une faille de parcours de chemin (path traversal) présente dans Calibre versions 7.14.0 et antérieures. Cette faille permet à des attaquants non authentifiés de lire des fichiers arbitraires sur le système. L'impact est la divulgation potentielle d'informations sensibles stockées sur le serveur. La version corrigée est 7.14.1, et une mise à jour est fortement recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de contourner les mécanismes de sécurité et d'accéder à des fichiers situés en dehors du répertoire prévu. Cela peut inclure des fichiers de configuration, des bases de données, ou même des données sensibles des utilisateurs. L'attaquant pourrait potentiellement extraire des informations confidentielles, compromettre la confidentialité des données, ou même exécuter du code malveillant si des fichiers exécutables sont accessibles. Bien qu'il n'y ait pas de rapports d'exploitation active à ce jour, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été rendue publique le 6 août 2024. Il n'y a pas d'indication d'exploitation active à ce jour, mais la simplicité de l'exploitation et la nature sensible des données potentiellement accessibles rendent cette vulnérabilité préoccupante. Aucun score EPSS n'est disponible pour le moment. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Users running Calibre version 7.14.0 are at immediate risk. This includes individuals using Calibre for personal e-book management and organizations deploying Calibre servers for library management. Shared hosting environments where Calibre is installed are particularly vulnerable, as multiple users may have access to the same instance.
• other / general: Monitor Calibre logs for unusual file access attempts. Look for requests targeting files outside of the expected Calibre data directories.
grep -i 'path traversal' /var/log/calibre/calibre.logdisclosure
Statut de l'Exploit
EPSS
93.77% (percentile 100%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour Calibre vers la version 7.14.1 ou ultérieure, qui corrige cette faille. En attendant la mise à jour, une mesure d'atténuation consiste à restreindre l'accès au répertoire de données de Calibre. Cela peut être réalisé en configurant les permissions du système d'exploitation pour limiter l'accès aux fichiers et répertoires sensibles. Il est également recommandé de surveiller les journaux d'accès pour détecter toute tentative d'accès non autorisé aux fichiers. Après la mise à jour, vérifiez l'intégrité des fichiers Calibre pour confirmer la correction.
Actualice Calibre a una versión posterior a 7.14.0 para corregir la vulnerabilidad de path traversal. Esto evitará que atacantes no autenticados lean archivos arbitrarios en el sistema. Descargue la última versión desde el sitio web oficial de Calibre.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-6781 is a vulnerability in Calibre versions 7.14.0–7.14.0 that allows unauthenticated attackers to read arbitrary files on the system, potentially exposing sensitive data. It is rated as HIGH severity.
If you are using Calibre version 7.14.0, you are affected by this vulnerability. Upgrade to version 7.14.1 or later to mitigate the risk.
The recommended fix is to upgrade Calibre to version 7.14.1 or a later version. This resolves the path traversal vulnerability.
While no public exploits are currently known, the ease of exploitation suggests that it may be targeted. It's crucial to apply the patch promptly.
Refer to the Calibre project's official website and security announcements for the latest information and advisory regarding CVE-2024-6781: https://calibre-ebook.com/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.