7.0.1
7.0.0
CVE-2019-5415, serve में एक पाथ ट्रैवर्सल भेद्यता है, जो हमलावरों को प्रतिबंधित फ़ाइलों तक पहुँचने की अनुमति देती है। इस भेद्यता का प्रभाव संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता serve के 7.0.1 से पहले के संस्करणों को प्रभावित करती है। संस्करण 7.0.0 में इस समस्या को ठीक कर दिया गया है।
CVE-2019-5415 serve में, यह हमलावरों को पथ हेरफेर के माध्यम से छिपी या अनधिकृत फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देता है। serve के 7.0.1 से पहले के संस्करण इस पथ पारगमन समस्या के प्रति संवेदनशील हैं। विशेष रूप से, अनुरोधित पथ में /./ अनुक्रम का उपयोग परिभाषित फ़ोल्डर बहिष्करण नियमों को बायपास कर सकता है, जिससे आमतौर पर संरक्षित संवेदनशील सामग्री तक पहुंच मिल सकती है। इसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या गोपनीय डेटा शामिल हो सकते हैं, जिससे serve का उपयोग करने वाले एप्लिकेशन या सर्वर की सुरक्षा से समझौता हो सकता है। CVSS गंभीरता स्कोर 7.5 है, जो उच्च जोखिम दर्शाता है।
एक हमलावर /./ के साथ हेरफेर किए गए पथ युक्त एक दुर्भावनापूर्ण अनुरोध को serve पर भेजकर इस भेद्यता का फायदा उठा सकता है। उदाहरण के लिए, बहिष्कृत फ़ोल्डर में फ़ाइल तक पहुंचने का प्रयास पथ में /./ शामिल करके सफल हो सकता है। यह विकास या परीक्षण वातावरण में विशेष रूप से चिंताजनक है, जहां संवेदनशील फ़ाइलें उजागर हो सकती हैं। शोषण में आसानी और डेटा गोपनीयता पर संभावित प्रभाव इस भेद्यता को एक महत्वपूर्ण चिंता का विषय बनाते हैं।
Development teams using serve to serve static files during development are particularly at risk. Shared hosting environments where users have limited control over their server configuration are also vulnerable if the serve package is installed and not properly updated. Projects relying on older versions of serve in automated build pipelines are also exposed.
• nodejs / server:
npm list serveCheck the version of serve installed in your project. If it's less than 7.0.1, you are vulnerable.
• generic web:
curl -I <yourserveurl>/../../../../etc/passwd
Attempt to access sensitive files using path traversal. A successful response indicates a vulnerability.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.32% (55% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए अनुशंसित समाधान serve को संस्करण 7.0.1 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण /./ अनुक्रम युक्त पथों को सही ढंग से संसाधित करके पथ पारगमन समस्या को ठीक करता है। अपग्रेड करने से पहले अपने वर्तमान कॉन्फ़िगरेशन का बैकअप लेना सुनिश्चित करें। इसके अतिरिक्त, फ़ाइलों और निर्देशिकाओं तक अनधिकृत पहुंच के खिलाफ अतिरिक्त सुरक्षा उपायों को लागू करने के लिए अपने एप्लिकेशन की सुरक्षा नीतियों की समीक्षा करें। इस भेद्यता से खुद को बचाने और अपने डेटा की अखंडता बनाए रखने का यह सबसे प्रभावी तरीका है।
Actualice la versión de `serve` a la versión 7.0.1 o superior. Esto corregirá la vulnerabilidad en el manejo de archivos y directorios ignorados, impidiendo que un atacante acceda a recursos no permitidos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
पथ पारगमन एक भेद्यता है जो एक हमलावर को एप्लिकेशन के इरादे के रूट निर्देशिका के बाहर फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देती है।
यदि आप serve के एक असुरक्षित संस्करण का उपयोग कर रहे हैं, तो एक हमलावर संवेदनशील फ़ाइलों तक पहुंच सकता है, जिससे आपके एप्लिकेशन की सुरक्षा से समझौता हो सकता है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो सर्वर एक्सेस को प्रतिबंधित करने और संदिग्ध गतिविधि की निगरानी करने जैसे अतिरिक्त सुरक्षा उपायों को लागू करने पर विचार करें।
आप NIST भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं: https://nvd.nist.gov/vuln/detail/CVE-2019-5415
ऐसे सुरक्षा विश्लेषण उपकरण हैं जो इस भेद्यता का पता लगा सकते हैं। सिफारिशों के लिए अपनी सुरक्षा टीम से परामर्श लें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।