CVE-2024-6851は、aimhubio/aimのバージョン3.22.0以前に存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は管理対象外のファイルを削除する可能性があります。影響を受けるバージョンは3.22.0以前であり、最新バージョンへのアップデートが推奨されます。2025年3月20日に公開されました。
この脆弱性は、攻撃者がaimhubio/aimのLocalFileManager._cleanup関数において、ユーザーが指定したglobパターンを利用して、本来削除されるべきファイル以外のファイルを削除することを可能にします。具体的には、攻撃者は管理対象ディレクトリ外のファイルを指定するglobパターンを送信することで、システム上の重要なファイルを誤って削除したり、意図的に削除したりする可能性があります。これにより、データの損失、システムの停止、さらには機密情報の漏洩につながる可能性があります。この脆弱性は、ファイル管理機能に依存するアプリケーションにおいて、特に深刻な影響を及ぼす可能性があります。
このCVEは、2025年3月20日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。NVD(National Vulnerability Database)の情報も参照し、最新の状況を把握することが重要です。
Organizations and individuals utilizing aimhubio/aim versions 3.22.0 and earlier, particularly those running the tracking server in environments with limited access controls or where the file cleanup functionality is enabled without proper validation, are at significant risk. Shared hosting environments where multiple users have access to the aimhubio/aim installation are also particularly vulnerable.
• python / server:
import os
import glob
def check_file_deletion(directory, pattern):
try:
files = glob.glob(os.path.join(directory, pattern))
for file in files:
if not file.startswith(directory):
print(f"Potential Path Traversal: File {file} outside of directory {directory}")
except Exception as e:
print(f"Error during glob check: {e}")
# Example usage (replace with actual directory and pattern)
directory = '/path/to/aimhubio/aim/data' # Replace with the actual data directory
patter = '*/temp/*' # Replace with the pattern being used
check_file_deletion(directory, pattern)disclosure
エクスプロイト状況
EPSS
0.38% (60% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずaimhubio/aimを最新バージョンにアップデートすることが最も効果的です。アップデートが困難な場合は、ファイル削除処理における入力検証を強化し、globパターンが管理対象ディレクトリ内に存在することを確認するロジックを追加することを検討してください。また、WAF(Web Application Firewall)を導入し、悪意のあるglobパターンを検知・遮断するルールを設定することも有効です。ファイルシステムのアクセス制御を適切に設定し、攻撃者が不正なファイルにアクセスできないようにすることも重要です。アップデート後、ファイル削除機能が正常に動作することを確認してください。
Actualice la biblioteca aimhubio/aim a una versión posterior a la 3.22.0 que corrija la vulnerabilidad. Esto evitará la eliminación arbitraria de archivos debido a un patrón glob malicioso. Consulte las notas de la versión para obtener más detalles sobre la corrección.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-6851は、aimhubio/aimのバージョン3.22.0以前に存在するパス・トラバーサル脆弱性で、攻撃者が管理対象外のファイルを削除する可能性があります。
はい、aimhubio/aimのバージョンが3.22.0以前の場合、この脆弱性の影響を受けます。
aimhubio/aimを最新バージョンにアップデートすることが最も効果的な修正方法です。
現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。
aimhubio/aimの公式アドバイザリは、aimhubioのウェブサイトまたは関連するセキュリティ情報サイトで確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。