CVE-2024-5548は、stitionai/devikaリポジトリの/api/download-projectエンドポイントに存在するディレクトリトラバーサル脆弱性です。攻撃者は、HTTP GETリクエストの'project_name'パラメータを悪用することで、本来アクセスできないファイルシステム上の任意のファイルをダウンロードできる可能性があります。この脆弱性は、devikaの最新バージョンに影響を与え、機密情報の漏洩につながるリスクがあります。現時点では修正バージョンは提供されていません。
このディレクトリトラバーサル脆弱性は、攻撃者がdevikaサーバー上のファイルシステムを自由に探索することを可能にします。攻撃者は、'project_name'パラメータに'../'のような文字列を挿入することで、意図されたディレクトリ外のファイルにアクセスできます。これにより、設定ファイル、ソースコード、データベースダンプなど、機密性の高い情報が漏洩する可能性があります。攻撃者は、さらにこの脆弱性を悪用して、サーバー上で任意のコードを実行したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。この脆弱性の影響範囲は広範囲に及び、サーバー全体のセキュリティが脅かされる可能性があります。
CVE-2024-5548は、2024年6月27日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ディレクトリトラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、早急な対応が必要です。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていませんが、脆弱性の性質上、容易に作成される可能性があります。
Organizations deploying Devika in environments with inadequate input validation or access controls are at risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other users' data through this vulnerability. Systems with legacy configurations or those lacking robust security monitoring are also at increased risk.
• linux / server: Monitor access logs for requests to /api/download-project containing suspicious characters like ../ or absolute paths. Use grep to search for these patterns.
grep 'project_name=.*\.\.' /var/log/nginx/access.log• generic web: Use curl to test the endpoint with various payloads containing path traversal sequences.
curl 'http://your-devika-server/api/download-project?project_name=../../../../etc/passwd'• generic web: Examine response headers for unexpected content types or file extensions that indicate unauthorized file access.
• linux / server: Use auditd to monitor access to sensitive files and directories. Create an audit rule to log attempts to access files outside the intended directory.
auditctl -w / -p wa -k devika_traversaldisclosure
エクスプロイト状況
EPSS
0.89% (75% パーセンタイル)
CISA SSVC
CVSS ベクトル
現時点では、devikaの公式な修正バージョンは提供されていません。そのため、以下の緩和策を講じることを推奨します。まず、/api/download-projectエンドポイントへのアクセスを制限し、信頼できるユーザーのみがアクセスできるようにファイアウォールやアクセス制御リストを設定してください。次に、入力検証を強化し、'project_name'パラメータに不正な文字が含まれていないか厳密にチェックしてください。Webアプリケーションファイアウォール(WAF)を導入し、ディレクトリトラバーサル攻撃を検知・防御することも有効です。また、ログ監視を強化し、不審なアクセスパターンを早期に発見できるようにしてください。緩和策の実施後、アクセス制御が正しく機能しているか、入力検証が期待通りに動作しているかを確認してください。
Actualice a la última versión de devika. El commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 contiene la solución a la vulnerabilidad. Asegúrese de validar y sanitizar correctamente la entrada 'project_name' para evitar el recorrido de directorios.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-5548は、stitionai/devikaの/api/download-projectエンドポイントにおけるディレクトリトラバーサル脆弱性です。攻撃者は、'project_name'パラメータを操作し、システム上の任意のファイルをダウンロードできます。
stitionai/devikaの最新バージョンを使用している場合は、影響を受ける可能性があります。入力検証の不備により、攻撃者がファイルシステム上の任意のファイルにアクセスできる可能性があります。
現時点では修正バージョンは提供されていません。緩和策として、アクセス制限、入力検証の強化、WAFの導入、ログ監視の強化などを実施してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ディレクトリトラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、早急な対応が必要です。
stitionaiの公式ウェブサイトまたはGitHubリポジトリで、CVE-2024-5548に関する情報を確認してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。