7.0.1
7.0.0
CVE-2019-5415 is een Path Traversal kwetsbaarheid in de 'serve' package. Door een /./ in het pad te gebruiken, kunnen aanvallers toegang krijgen tot verborgen mappen en bestanden die expliciet genegeerd zouden moeten worden. Dit kan leiden tot het onbedoeld blootleggen van gevoelige informatie. De kwetsbaarheid treft versies van 'serve' lager dan 7.0.1. Een upgrade naar versie 7.0.1 of hoger verhelpt dit probleem.
De CVE-2019-5415 kwetsbaarheid in serve stelt aanvallers in staat om toegang te krijgen tot verborgen of ongeautoriseerde bestanden en mappen via padmanipulatie. Versies van serve vóór 7.0.1 zijn kwetsbaar voor dit pad traversal probleem. Specifiek kan het gebruik van de /./ sequentie in het aangevraagde pad mapuitsluitregels omzeilen, waardoor toegang tot gevoelige inhoud mogelijk wordt die normaal gesproken beschermd zou zijn. Dit kan configuratiebestanden, broncode of vertrouwelijke gegevens omvatten, waardoor de beveiliging van de applicatie of server die serve gebruikt wordt aangetast. De CVSS ernstscore is 7.5, wat een hoog risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadaardig verzoek naar serve te sturen dat een gemanipuleerd pad met /./ bevat. Bijvoorbeeld, het proberen toegang te krijgen tot een bestand in een uitgesloten map kan succesvol zijn door /./ in het pad op te nemen. Dit is vooral zorgwekkend in ontwikkel- of testomgevingen waar gevoelige bestanden kunnen worden blootgesteld. De eenvoud van exploitatie en de potentiële impact op de vertrouwelijkheid van gegevens maken deze kwetsbaarheid een aanzienlijk probleem.
Development teams using serve to serve static files during development are particularly at risk. Shared hosting environments where users have limited control over their server configuration are also vulnerable if the serve package is installed and not properly updated. Projects relying on older versions of serve in automated build pipelines are also exposed.
• nodejs / server:
npm list serveCheck the version of serve installed in your project. If it's less than 7.0.1, you are vulnerable.
• generic web:
curl -I <yourserveurl>/../../../../etc/passwd
Attempt to access sensitive files using path traversal. A successful response indicates a vulnerability.
disclosure
Exploit Status
EPSS
0.32% (55% percentiel)
CVSS-vector
De aanbevolen oplossing om deze kwetsbaarheid te mitigeren is om te upgraden naar versie 7.0.1 of hoger van serve. Deze versie corrigeert het pad traversal probleem door paden die de /./ sequentie bevatten correct te verwerken. Zorg ervoor dat u uw huidige configuratie back-upt voordat u upgradeert. Controleer bovendien de beveiligingsbeleidsregels van uw applicatie om ervoor te zorgen dat extra beschermingsmaatregelen tegen ongeautoriseerde toegang tot bestanden en mappen aanwezig zijn. De upgrade is de meest effectieve manier om uzelf te beschermen tegen deze kwetsbaarheid en de integriteit van uw gegevens te behouden.
Actualice la versión de `serve` a la versión 7.0.1 o superior. Esto corregirá la vulnerabilidad en el manejo de archivos y directorios ignorados, impidiendo que un atacante acceda a recursos no permitidos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Pad traversal is een kwetsbaarheid die een aanvaller in staat stelt om toegang te krijgen tot bestanden en mappen buiten de beoogde root directory van een applicatie.
Als u een kwetsbare versie van serve gebruikt, kan een aanvaller toegang krijgen tot gevoelige bestanden, waardoor de beveiliging van uw applicatie wordt aangetast.
Als u niet onmiddellijk kunt upgraden, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals het beperken van servertoegang en het monitoren van verdachte activiteiten.
U kunt meer informatie over deze kwetsbaarheid vinden in de NIST vulnerability database: https://nvd.nist.gov/vuln/detail/CVE-2019-5415
Er zijn security analysis tools die deze kwetsbaarheid kunnen detecteren. Raadpleeg uw security team voor aanbevelingen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.