CVE-2019-5417は、serve 7.1.3より前のバージョンに存在するディレクトリトラバーサルの脆弱性です。この脆弱性により、ファイルパスのサニタイズ処理が不十分なため、攻撃者がシステム上のファイルに不正にアクセスする可能性があります。影響を受けるのはserveの7.1.3より前のバージョンです。この問題はバージョン7.1.3で修正されています。
CVE-2019-5417 は、serve におけるディレクトリトラバーサル攻撃を可能にします。これは、ファイルパスの検証が不十分であるために発生し、攻撃者が基盤となるオペレーティングシステム上の機密ファイルやディレクトリにアクセスできるようになります。攻撃者は、設定ファイル、ソースコード、または外部からアクセスすべきではない機密データを読み取る可能性があります。この脆弱性の深刻度は、CVSS スケールで 7.5 と評価されており、重大なリスクを示しています。ファイルパスのサニタイズが不十分であるため、システムは特に serve が制御されていない場所から Web コンテンツを提供するために使用されている環境において、大きなセキュリティリスクにさらされます。
この脆弱性は、serve ツールに提供されるファイルパスを操作することによって悪用されます。攻撃者は ../ などのシーケンスを使用して、意図されたルートディレクトリの外に移動し、許可されていない場所にあるファイルにアクセスする可能性があります。悪用は比較的簡単で、高度な技術スキルは必要ありません。リスクは、serve が攻撃者が制御できるディレクトリからコンテンツを提供するために使用されている環境で高くなります。これにより、悪意のあるパスを挿入できるようになります。この脆弱性は、7.1.3 より前の serve のすべてのバージョンに影響します。
エクスプロイト状況
EPSS
0.61% (70% パーセンタイル)
CVSS ベクトル
CVE-2019-5417 を軽減するための推奨される解決策は、serve のバージョンを 7.1.3 以降にアップグレードすることです。これらのバージョンには、不正アクセスを防ぐためにファイルパスを検証およびサニタイズする修正が含まれています。直ちにアップグレードできない場合は、機密ディレクトリへのアクセスを制限するために、ファイルシステムで厳格なアクセス制御を実装することをお勧めします。さらに、serve の構成をレビューおよび監査して、意図されたファイルとディレクトリのみが提供されるようにする必要があります。アップグレードは最も効果的な対策であり、この脆弱性から保護するために強く推奨されます。
Actualice el paquete 'serve' a la versión 7.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios en el servidor remoto. Ejecute 'npm install serve@latest' para obtener la versión más reciente.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者がアクセスすべきではない Web サーバー上のファイルとディレクトリにアクセスできるセキュリティ攻撃です。これは、ファイルパスを操作することによって実現されます。
ターミナルで serve --version コマンドを実行することで、serve のバージョンを確認できます。
ファイルシステムで厳格なアクセス制御を実装し、serve の構成をレビューしてください。
はい、7.1.3 より前のすべてのバージョンに影響します。
Common Vulnerabilities and Exposures (CVE) 脆弱性データベースの CVE-2019-5417 エントリで、より詳しい情報を入手できます。