HIGHCVE-2024-5547CVSS 7.5

stitionai/devika におけるディレクトリトラバーサル

プラットフォーム

python

コンポーネント

devika

修正版

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-5547は、stitionai/devikaの/api/download-project-pdfエンドポイントに存在するディレクトリトラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はプロジェクト名パラメータを操作することで、本来アクセスできないPDFファイルをシステムからダウンロードすることが可能になります。最新バージョンが影響を受け、修正は現時点ではありません。攻撃者は機密情報を含むPDFファイルにアクセスする可能性があります。

影響と攻撃シナリオ

この脆弱性は、攻撃者がファイルシステムを自由に探索し、機密情報を含むPDFファイルを不正に取得することを可能にします。例えば、設計書、契約書、顧客データなど、機密情報がPDF形式で保存されている場合、それらの情報が漏洩するリスクがあります。攻撃者は、この脆弱性を悪用して、内部ネットワークへのアクセスを試み、さらなる攻撃の足がかりにすることも考えられます。この脆弱性の影響範囲は広範囲に及び、機密情報の漏洩、システムへの不正アクセス、さらには事業継続への影響も懸念されます。

悪用の状況

CVE-2024-5547は、2024年6月27日に公開されました。現時点では、KEVへの登録状況は不明です。EPSSスコアは評価待ちです。公開されているPoCは確認されていませんが、ディレクトリトラバーサル攻撃は比較的容易に実行可能なため、攻撃者による悪用が懸念されます。NVDおよびCISAの情報を定期的に確認し、最新の情報を収集してください。

リスク対象者翻訳中…

Organizations utilizing the stitionai/devika project, particularly those deploying it in production environments without proper security hardening, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as an attacker could potentially access PDF files belonging to other users.

検出手順翻訳中…

• linux / server:

journalctl -u devika -f | grep "download_project_pdf"

• generic web:

curl -I 'http://your-devika-server/api/download-project-pdf?project_name=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200 OK

攻撃タイムライン

2024-06-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.26% (79% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdevika

ベンダーstitionai

影響範囲修正版

unspecified – --

弱点分類 (CWE)

CWE-23

タイムライン

予約済み2024-05-30
公開日2024-06-27
更新日2024-08-01
EPSS 更新日2026-04-02

緩和策と回避策

現時点では公式な修正バージョンが提供されていません。一時的な緩和策として、/api/download-project-pdfエンドポイントへのアクセスを制限するWAFルールやプロキシ設定を検討してください。また、プロジェクト名パラメータの入力検証を強化し、不正な文字やディレクトリトラバーサル攻撃を試みるパターンを検出・ブロックするカスタムフィルタを実装することも有効です。ファイルシステムのアクセス権限を適切に設定し、PDFファイルが保存されているディレクトリへのアクセスを制限することも重要です。修正バージョンがリリースされたら、速やかに適用してください。

修正方法翻訳中…

Actualice la biblioteca devika a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro 'project_name', para evitar el acceso no autorizado a archivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-5547 — ディレクトリトラバーサル in devikaとは何ですか？

CVE-2024-5547は、stitionai/devikaの/api/download-project-pdfエンドポイントに存在するディレクトリトラバーサル脆弱性です。攻撃者はプロジェクト名を操作して、本来アクセスできないPDFファイルをダウンロードできます。

CVE-2024-5547 in devikaに影響はありますか？

stitionai/devikaの最新バージョンが影響を受けます。ファイルシステムのアクセス権限が適切に設定されていない場合、攻撃のリスクが高まります。

CVE-2024-5547 in devikaを修正するにはどうすればよいですか？

現時点では公式な修正バージョンは提供されていません。一時的な緩和策として、WAFルールやプロキシ設定を検討してください。修正バージョンがリリースされたら、速やかに適用してください。

CVE-2024-5547は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、ディレクトリトラバーサル攻撃は比較的容易に実行可能なため、攻撃者による悪用が懸念されます。

CVE-2024-5547のstitionai devika公式アドバイザリはどこで入手できますか？

stitionai devikaの公式アドバイザリは、リポジトリのissueトラッカーや公式ウェブサイトで確認してください。