CVE-2018-3712 is een Directory Traversal kwetsbaarheid in de 'serve' package. Hierdoor kan een kwaadwillende de directory structuur doorlopen en de inhoud van directories inzien waar de gebruiker toegang toe heeft. Het lezen van willekeurige bestanden is niet mogelijk. De kwetsbaarheid treft versies lager dan 6.4.9. Een update naar versie 6.4.9 of later verhelpt dit probleem.
De CVE-2018-3712-kwetsbaarheid in serve stelt een aanvaller in staat, door de manipulatie van URL-gecodeerde karakters %2e (punt) en %2f (slash), padbeperkingen te omzeilen en toegang te krijgen tot de inhoud van directories die toegankelijk zijn voor het serve-proces. Dit komt door onvoldoende invoervalidatie. Hoewel de kwetsbaarheid het directe lezen van individuele bestanden niet toestaat, maakt het wel de opsomming van de directory-inhoud mogelijk, wat gevoelige informatie over de bestandssysteemstructuur en bestandsnamen kan onthullen. De CVSS-score is 6,5, wat een matig risico aangeeft. Deze kwetsbaarheid treft versies vóór 6.4.9.
Een aanvaller kan deze kwetsbaarheid exploiteren door speciaal ontworpen HTTP-verzoeken naar een server te sturen die een kwetsbare versie van serve uitvoert. Deze verzoeken zouden URL-gecodeerde sequenties bevatten die de navigatie door het bestandssysteem mogelijk maken. Bijvoorbeeld, herhaaldelijk gebruik van %2e (punt) kan de navigatie naar bovenliggende directories mogelijk maken, terwijl %2f (slash) de navigatie naar subdirectories mogelijk kan maken. De aanvaller kan dan de inhoud van elke directory opsommen waartoe het serve-proces toegang heeft, waardoor informatie over de bestandssysteemstructuur wordt onthuld.
Exploit Status
EPSS
0.68% (71% percentiel)
CVSS-vector
De aanbevolen oplossing is om te updaten naar versie 6.4.9 of hoger van serve. Deze versie corrigeert de kwetsbaarheid door een robuustere padvalidatie te implementeren. In de tussentijd wordt, als tijdelijke maatregel, aanbevolen om de toegang van het serve-proces tot de noodzakelijke directories te beperken en het niet uit te voeren met verhoogde privileges. Het tijdig toepassen van deze update is cruciaal om het risico van blootlegging van gevoelige informatie te verminderen. De update is een fundamentele preventieve maatregel om de systeemintegriteit te waarborgen.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatie voor deze beveiligingskwetsbaarheid in de serve-software.
Voornamelijk de directorystructuur en de bestandsnamen die toegankelijk zijn voor het serve-proces.
Nee, de kwetsbaarheid staat alleen de opsomming van de directory-inhoud toe, niet het lezen van individuele bestanden.
Beperk de toegang van het serve-proces tot de noodzakelijke directories en voer het niet uit met verhoogde privileges.
U kunt versie 6.4.9 of hoger downloaden van de officiële website of de pakketrepository van uw besturingssysteem.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.