Plateforme
python
Composant
aim
Corrigé dans
3.22.1
La vulnérabilité CVE-2024-6851 est une faille de traversal de chemin (Path Traversal) affectant aimhubio/aim, une solution de suivi de performance, jusqu'à la version 3.22.0. Cette faille permet à un attaquant de supprimer arbitrairement des fichiers sur le système. La fonction LocalFileManager._cleanup ne valide pas correctement les motifs glob fournis par l’utilisateur, ouvrant la porte à une exploitation potentielle. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de supprimer des fichiers sensibles sur le serveur aimhubio/aim. Un attaquant pourrait cibler des fichiers de configuration, des données de suivi ou même des fichiers système critiques, entraînant une perte de données, une perturbation du service ou une compromission plus large du système. La suppression de fichiers de configuration pourrait permettre à un attaquant de modifier le comportement de l'application ou de compromettre d'autres systèmes connectés. Bien que l'exploitation nécessite un accès au serveur aimhubio/aim, l'impact potentiel est significatif en raison de la nature arbitraire de la suppression de fichiers.
La vulnérabilité CVE-2024-6851 a été rendue publique le 20 mars 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni d'ajout au KEV. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. Il est donc crucial de mettre en œuvre des mesures de mitigation rapidement.
Organizations and individuals utilizing aimhubio/aim versions 3.22.0 and earlier, particularly those running the tracking server in environments with limited access controls or where the file cleanup functionality is enabled without proper validation, are at significant risk. Shared hosting environments where multiple users have access to the aimhubio/aim installation are also particularly vulnerable.
• python / server:
import os
import glob
def check_file_deletion(directory, pattern):
try:
files = glob.glob(os.path.join(directory, pattern))
for file in files:
if not file.startswith(directory):
print(f"Potential Path Traversal: File {file} outside of directory {directory}")
except Exception as e:
print(f"Error during glob check: {e}")
# Example usage (replace with actual directory and pattern)
directory = '/path/to/aimhubio/aim/data' # Replace with the actual data directory
patter = '*/temp/*' # Replace with the pattern being used
check_file_deletion(directory, pattern)disclosure
Statut de l'Exploit
EPSS
0.38% (percentile 60%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour aimhubio/aim vers une version corrigée dès que possible. En attendant la mise à jour, une solution de contournement consiste à restreindre l'accès au serveur aimhubio/aim et à surveiller attentivement les activités suspectes. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des motifs glob malveillants. Enfin, une analyse régulière des fichiers système et des journaux d'accès peut aider à détecter toute tentative d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité des fichiers et examinez les journaux pour détecter toute activité anormale.
Actualice la biblioteca aimhubio/aim a una versión posterior a la 3.22.0 que corrija la vulnerabilidad. Esto evitará la eliminación arbitraria de archivos debido a un patrón glob malicioso. Consulte las notas de la versión para obtener más detalles sobre la corrección.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-6851 is a Path Traversal vulnerability in aimhubio/aim versions up to 3.22.0, allowing attackers to delete arbitrary files using a malicious glob-pattern.
You are affected if you are using aimhubio/aim version 3.22.0 or earlier. Upgrade to a patched version as soon as it becomes available.
Upgrade to a patched version of aimhubio/aim. Until then, restrict access to the file cleanup function and implement strict input validation on glob-patterns.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply mitigations proactively.
Refer to the aimhubio project's official website and GitHub repository for updates and security advisories regarding CVE-2024-6851.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.