HIGHCVE-2024-6851CVSS 7.5

Aim पाथ ट्रावर्सल (Path Traversal) भेद्यता

प्लेटफ़ॉर्म

python

घटक

aim

में ठीक किया गया

3.22.1

AI Confidence: highNVDEPSS 0.4%समीक्षित: मई 2026

NVD पर देखें

सहेजें

aimhubio/aim के संस्करण 3.22.0 या उससे पहले में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलें हटाने की अनुमति देती है, जिससे डेटा हानि या सिस्टम समझौता हो सकता है। यह भेद्यता aim के LocalFileManager._cleanup फ़ंक्शन में मौजूद है। 2025-03-20 को प्रकाशित, इस भेद्यता के लिए एक पैच जारी किया जाना है या अस्थायी समाधान लागू किए जाने चाहिए।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को aimhubio/aim इंस्टेंस पर मनमाने ढंग से फ़ाइलें हटाने की अनुमति देती है। हमलावर LocalFileManager._cleanup फ़ंक्शन में एक दुर्भावनापूर्ण glob-pattern प्रदान करके ऐसा कर सकते हैं, जो फ़ंक्शन को प्रबंधित निर्देशिका के बाहर की फ़ाइलों को हटाने के लिए प्रेरित करता है। इससे महत्वपूर्ण डेटा का नुकसान हो सकता है, सिस्टम की स्थिरता प्रभावित हो सकती है, या हमलावर सिस्टम पर नियंत्रण हासिल कर सकते हैं। इस भेद्यता का प्रभाव उस डेटा की मात्रा और संवेदनशीलता पर निर्भर करता है जिसे हटाया जा सकता है।

शोषण संदर्भ

CVE-2024-6851 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी तक निर्धारित नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं। NVD और CISA ने इस भेद्यता के संबंध में कोई जानकारी जारी नहीं की है। 2025-03-20 को सार्वजनिक रूप से खुलासा किया गया।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations and individuals utilizing aimhubio/aim versions 3.22.0 and earlier, particularly those running the tracking server in environments with limited access controls or where the file cleanup functionality is enabled without proper validation, are at significant risk. Shared hosting environments where multiple users have access to the aimhubio/aim installation are also particularly vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import os
import glob

def check_file_deletion(directory, pattern):
    try:
        files = glob.glob(os.path.join(directory, pattern))
        for file in files:
            if not file.startswith(directory):
                print(f"Potential Path Traversal: File {file} outside of directory {directory}")
    except Exception as e:
        print(f"Error during glob check: {e}")

# Example usage (replace with actual directory and pattern)
directory = '/path/to/aimhubio/aim/data' # Replace with the actual data directory
patter = '*/temp/*' # Replace with the pattern being used
check_file_deletion(directory, pattern)

हमले की समयरेखा

2025-03-20Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.38% (60% शतमक)

CISA SSVC

शोषणpoc

स्वचालनीयyes

तकनीकी प्रभावpartial

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction: कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope: अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality: कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity: कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability: उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकaim

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

unspecified – latest—

3.22.03.22.1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

आरक्षित2024-07-17
प्रकाशित2025-03-20
संशोधित2025-03-21
EPSS अद्यतन2026-04-02

बिना पैच — प्रकाशन से 430 दिन

शमन और वर्कअराउंड

CVE-2024-6851 को कम करने के लिए, aimhubio/aim को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है जिसमें इस भेद्यता के लिए एक पैच शामिल है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल हटाने की कार्यक्षमता को सीमित करने पर विचार करें, केवल उन फ़ाइलों को हटाने की अनुमति दें जो स्पष्ट रूप से LocalFileManager द्वारा प्रबंधित हैं। फ़ायरवॉल नियमों को कॉन्फ़िगर करके या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल हटाने के प्रयासों का पता लगाने और उन्हें अवरुद्ध करने के लिए भी कदम उठाए जा सकते हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la biblioteca aimhubio/aim a una versión posterior a la 3.22.0 que corrija la vulnerabilidad. Esto evitará la eliminación arbitraria de archivos debido a un patrón glob malicioso. Consulte las notas de la versión para obtener más detalles sobre la corrección.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2024-6851 — पथ पारगमन (Path Traversal) aimhubio/aim में क्या है?

CVE-2024-6851 aimhubio/aim के संस्करण 3.22.0 या उससे पहले में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलें हटाने की अनुमति देती है।

क्या मैं CVE-2024-6851 से aimhubio/aim में प्रभावित हूं?

यदि आप aimhubio/aim के संस्करण 3.22.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2024-6851 से aimhubio/aim को कैसे ठीक करूं?

CVE-2024-6851 को ठीक करने के लिए, aimhubio/aim को नवीनतम संस्करण में अपडेट करें जिसमें इस भेद्यता के लिए एक पैच शामिल है।

क्या CVE-2024-6851 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2024-6851 के सक्रिय शोषण के बारे में कोई सार्वजनिक जानकारी नहीं है, लेकिन सतर्क रहना और सुरक्षा उपाय लागू करना महत्वपूर्ण है।

मैं CVE-2024-6851 के लिए आधिकारिक aimhubio/aim सलाहकार कहां पा सकता हूं?

आधिकारिक सलाहकार के लिए aimhubio वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें