HIGHCVE-2024-32982CVSS 8.2

Litestar および Starlite は、制限されたディレクトリへのパス名の不適切な制限 ('Path Traversal') によって影響を受けます

Q: CVE-2024-32982 — パス・トラバーサル脆弱性とは、Litestarで何ですか？

CVE-2024-32982は、Litestarのファイル提供コンポーネントにおけるパス・トラバーサル脆弱性であり、攻撃者が指定されたディレクトリ外の機密ファイルにアクセスできる可能性があります。

Q: CVE-2024-32982でLitestarを使用している場合、影響を受けますか？

はい、Litestarのバージョンが2.0.0以降で、2.8.0以上、2.8.3未満の場合、この脆弱性の影響を受けます。

Q: CVE-2024-32982でLitestarを修正するにはどうすればよいですか？

Litestarをバージョン2.8.3にアップデートしてください。アップデートがすぐに適用できない場合は、WAFを使用して攻撃をブロックすることを検討してください。

Q: CVE-2024-32982の公式Litestarアドバイザリはどこで入手できますか？

公式アドバイザリについては、Litestarのリリースノートまたはセキュリティアナウンスメントをご確認ください。

プラットフォーム

python

コンポーネント

litestar-org/litestar

修正版

2.8.1

1.37.1

2.7.1

2.0.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-32982は、Python ASGIフレームワークであるLitestarにおけるパス・トラバーサル脆弱性です。この脆弱性により、攻撃者は指定されたディレクトリ外の機密ファイルにアクセスできるようになる可能性があります。影響を受けるバージョンは2.0.0以降で、2.8.0以上、2.8.3未満です。2.8.3へのアップデートにより、この脆弱性は修正されました。

影響と攻撃シナリオ

この脆弱性は、攻撃者がLitestarのファイル提供コンポーネントを悪用し、パス・トラバーサル攻撃を実行することで、サーバー上の機密ファイルに不正にアクセスすることを可能にします。攻撃者は、/..のようなパス操作シーケンスを利用して、本来アクセスできないファイルシステム上のファイルに到達できます。これにより、ソースコード、設定ファイル、データベースの認証情報など、機密性の高い情報が漏洩する可能性があります。さらに、攻撃者はこの脆弱性を利用して、サーバー上で任意のコードを実行したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、類似のファイル提供コンポーネントの脆弱性と同様に、深刻なセキュリティリスクをもたらします。

悪用の状況

このCVEは2024年5月6日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報を窃取したり、サーバーを乗っ取ったりする可能性があります。

リスク対象者翻訳中…

Applications and services built using Litestar, particularly those serving static content, are at risk. This includes deployments utilizing custom static file serving configurations or those with inadequate input validation. Shared hosting environments where multiple applications share the same server and file system are also particularly vulnerable.

検出手順翻訳中…

• python / server:

import os
import requests

url = 'http://your-litestar-server/static/../../../../etc/passwd' # Example path traversal attempt
response = requests.get(url)

if response.status_code == 200:
    print('Potential vulnerability detected: Path traversal successful!')
    print(response.text)
else:
    print('Path traversal attempt failed.')

• linux / server:

journalctl -u litestar -f | grep "path traversal"

• generic web:

curl -I http://your-litestar-server/static/../../../../etc/passwd

Check the response headers for any unexpected content or errors.

攻撃タイムライン

2024-05-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.23% (45% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントlitestar-org/litestar

ベンダーlitestar-org

影響範囲修正版

>= 2.8.0, < 2.8.3 – >= 2.8.0, < 2.8.32.8.1

>= 1.37.0, <= 1.51.14 – >= 1.37.0, <= 1.51.141.37.1

>= 2.7.0, < 2.7.2 – >= 2.7.0, < 2.7.22.7.1

>= 2.0.0, < 2.6.4 – >= 2.0.0, < 2.6.42.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-04-22
公開日2024-05-06
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Litestarをバージョン2.8.3にアップデートすることです。アップデートがすぐに適用できない場合は、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃をブロックすることを検討してください。WAFルールは、/..のような不審なパス操作シーケンスを検出するように設定する必要があります。また、ファイル提供コンポーネントへのアクセスを制限し、アクセス権限を最小限に抑えることも有効です。ファイル提供ディレクトリのアクセス制御を強化し、不要なファイルへのアクセスを禁止することで、攻撃の影響範囲を限定できます。アップデート後、ファイル提供機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice Litestar a la versión 2.8.3, 2.7.2 o 2.6.4, o superior. Esto corrige la vulnerabilidad de path traversal en el componente de servicio de archivos estáticos. La actualización previene el acceso no autorizado a archivos sensibles fuera de los directorios designados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-32982 — パス・トラバーサル脆弱性とは、Litestarで何ですか？