प्लेटफ़ॉर्म
python
घटक
litestar-org/litestar
में ठीक किया गया
2.8.1
1.37.1
2.7.1
2.0.1
CVE-2024-32982 Litestar में एक पथ पारगमन भेद्यता है, जो एक एसिंक्रोनस सर्वर गेटवे इंटरफेस (ASGI) फ्रेमवर्क है। यह भेद्यता हमलावरों को निर्दिष्ट निर्देशिकाओं के बाहर संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। प्रभावित संस्करण 2.0.0–>= 2.8.0 और < 2.8.3 हैं। इस समस्या को हल करने के लिए, Litestar को संस्करण 2.8.3 में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को Litestar के स्थिर फ़ाइल सेवा घटक में पथ पारगमन त्रुटियों का फायदा उठाने की अनुमति देती है। इसका मतलब है कि वे सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक पहुँच सकते हैं, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या डेटाबेस सामग्री। इस जानकारी का उपयोग सर्वर को और समझौता करने, डेटा चोरी करने या सेवा से इनकार करने के हमलों को शुरू करने के लिए किया जा सकता है। चूंकि Litestar का उपयोग विभिन्न वेब अनुप्रयोगों में किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर विशेष रूप से तैयार किए गए अनुरोधों को भेज सकता है जो पथ पारगमन त्रुटियों का फायदा उठाते हैं।
CVE-2024-32982 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन पथ पारगमन भेद्यताएँ अक्सर शोषण की जाती हैं। इस CVE को CISA KEV में शामिल किया गया है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन अभी तक व्यापक रूप से रिपोर्ट नहीं किए गए हैं। NVD और CISA ने 2024-05-06 को प्रकाशन की तारीख दर्ज की है।
Applications and services built using Litestar, particularly those serving static content, are at risk. This includes deployments utilizing custom static file serving configurations or those with inadequate input validation. Shared hosting environments where multiple applications share the same server and file system are also particularly vulnerable.
• python / server:
import os
import requests
url = 'http://your-litestar-server/static/../../../../etc/passwd' # Example path traversal attempt
response = requests.get(url)
if response.status_code == 200:
print('Potential vulnerability detected: Path traversal successful!')
print(response.text)
else:
print('Path traversal attempt failed.')• linux / server:
journalctl -u litestar -f | grep "path traversal"• generic web:
curl -I http://your-litestar-server/static/../../../../etc/passwdCheck the response headers for any unexpected content or errors.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.23% (45% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-32982 के लिए प्राथमिक शमन उपाय Litestar को संस्करण 2.8.3 में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके स्थिर फ़ाइल सेवा के लिए पहुँच को प्रतिबंधित कर सकते हैं। यह उन अनुरोधों को अवरुद्ध करके किया जा सकता है जो निर्दिष्ट निर्देशिकाओं के बाहर फ़ाइलों तक पहुँचने का प्रयास करते हैं। इसके अतिरिक्त, आप Litestar के कॉन्फ़िगरेशन को सुरक्षित करने और संवेदनशील फ़ाइलों तक पहुँच को सीमित करने के लिए अतिरिक्त सुरक्षा उपाय लागू कर सकते हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, स्थिर फ़ाइलों तक पहुँच का परीक्षण करके और यह सुनिश्चित करके कि अनधिकृत फ़ाइलों तक पहुँच प्राप्त नहीं की जा सकती है।
Actualice Litestar a la versión 2.8.3, 2.7.2 o 2.6.4, o superior. Esto corrige la vulnerabilidad de path traversal en el componente de servicio de archivos estáticos. La actualización previene el acceso no autorizado a archivos sensibles fuera de los directorios designados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-32982 Litestar में एक पथ पारगमन भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है।
यदि आप Litestar संस्करण 2.0.0–>= 2.8.0 और < 2.8.3 चला रहे हैं, तो आप प्रभावित हैं।
Litestar को संस्करण 2.8.3 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके स्थिर फ़ाइल सेवा के लिए पहुँच को प्रतिबंधित करें।
CVE-2024-32982 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह शोषण के प्रति संवेदनशील है।
आधिकारिक Litestar सलाहकार के लिए Litestar की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।