प्लेटफ़ॉर्म
nodejs
घटक
@oakserver/oak
में ठीक किया गया
17.1.4
14.1.1
CVE-2024-49770 एक पथ पारगमन भेद्यता है जो @oakserver/oak में पाई गई है। यह भेद्यता हमलावरों को URL एन्कोडिंग का उपयोग करके छिपी फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है। यह भेद्यता @oakserver/oak के संस्करणों 14.1.0 से कम या उसके बराबर को प्रभावित करती है। संस्करण 17.1.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर फ़ाइल सिस्टम तक पहुंच प्राप्त करने की अनुमति देती है, जिससे संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य महत्वपूर्ण डेटा का खुलासा हो सकता है। एक हमलावर संभावित रूप से सर्वर पर मनमाना कोड भी निष्पादित कर सकता है यदि वे संवेदनशील फ़ाइलों को संशोधित करने या अपलोड करने में सक्षम हैं। इस भेद्यता का शोषण करने के लिए, एक हमलावर URL में / को %2F से एन्कोड करके छिपी फ़ाइलों तक पहुंच सकता है, जिससे सुरक्षा नियंत्रणों को बायपास किया जा सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो @oakserver/oak का उपयोग करते हैं और संवेदनशील डेटा संग्रहीत करते हैं या संसाधित करते हैं।
CVE-2024-49770 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। यह भेद्यता 2024-11-01 को प्रकाशित हुई थी।
Applications and services built using @oakserver/oak versions prior to 17.1.3 are at risk. This includes web applications, APIs, and other backend systems that rely on @oakserver/oak for routing and file handling. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially expose files from others.
• nodejs / server:
npm list @oakserver/oak• nodejs / server:
find / -name "node_modules/@oakserver/oak/send.ts" -print• nodejs / server:
grep -r '%2F' /path/to/oak/project/disclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (34% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, @oakserver/oak को संस्करण 17.1.3 या उच्चतर में तुरंत अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके URL एन्कोडिंग को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल एक्सेस नियंत्रण को कड़ा करना और संवेदनशील फ़ाइलों को छिपाना भेद्यता के जोखिम को कम करने में मदद कर सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, फ़ाइल एक्सेस नियंत्रण और URL एन्कोडिंग को सत्यापित करें।
Actualice la dependencia `oak` a la versión 17.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite el acceso a archivos ocultos. Ejecute `npm update oak` o `yarn upgrade oak` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-49770 @oakserver/oak में एक पथ पारगमन भेद्यता है जो हमलावरों को URL एन्कोडिंग का उपयोग करके छिपी फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।
यदि आप @oakserver/oak के संस्करण 14.1.0 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
@oakserver/oak को संस्करण 17.1.3 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो URL एन्कोडिंग को ब्लॉक करने के लिए WAF या प्रॉक्सी का उपयोग करें।
CVE-2024-49770 का अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।
@oakserver/oak आधिकारिक सलाहकार के लिए, कृपया @oakserver/oak के GitHub रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।