7.1.4
7.1.3
CVE-2019-5417 is een Directory Traversal kwetsbaarheid in de 'serve' package. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om toegang te krijgen tot gevoelige systeembestanden door het ontbreken van sanitatie van bestandspaden. Dit kan leiden tot ongeautoriseerde toegang tot informatie en mogelijk andere beveiligingsrisico's. De kwetsbaarheid treft versies van 'serve' ouder dan 7.1.3. Een upgrade naar versie 7.1.3 of hoger verhelpt dit probleem.
De CVE-2019-5417 kwetsbaarheid in serve stelt aanvallers in staat om Directory Traversal aanvallen uit te voeren. Dit komt door een onvoldoende validatie van bestandspaden, waardoor een aanvaller toegang kan krijgen tot gevoelige bestanden en mappen op het onderliggende besturingssysteem. Een aanvaller kan potentieel configuratiebestanden, broncode of andere vertrouwelijke gegevens lezen die van buitenaf niet toegankelijk zouden moeten zijn. De ernst van deze kwetsbaarheid wordt beoordeeld als 7.5 op de CVSS-schaal, wat een aanzienlijk risico aangeeft. Het ontbreken van sanitatie van bestandspaden stelt het systeem bloot aan aanzienlijke beveiligingsrisico's, vooral in omgevingen waar serve wordt gebruikt om webcontent te serveren vanaf ongecontroleerde locaties.
Deze kwetsbaarheid wordt uitgebuit door de bestandspaden te manipuleren die aan de serve-tool worden verstrekt. Een aanvaller kan sequenties zoals ../ gebruiken om buiten de beoogde rootdirectory te navigeren en toegang te krijgen tot bestanden op niet-geautoriseerde locaties. Exploitatie is relatief eenvoudig en vereist geen geavanceerde technische vaardigheden. Het risico is groter in omgevingen waar serve wordt gebruikt om inhoud te serveren vanaf een map die de aanvaller kan controleren, omdat dit hem in staat stelt kwaadaardige paden in te voegen. De kwetsbaarheid treft alle versies van serve vóór 7.1.3.
Exploit Status
EPSS
0.61% (70% percentiel)
CVSS-vector
De aanbevolen oplossing om CVE-2019-5417 te mitigeren is het upgraden van de versie van serve naar 7.1.3 of hoger. Deze versies bevatten fixes die bestandspaden valideren en sanitiseren, waardoor ongeautoriseerde toegang wordt voorkomen. Als een onmiddellijke upgrade niet mogelijk is, wordt aanbevolen om strikte toegangscontroles op het bestandssysteem te implementeren om de toegang tot gevoelige mappen te beperken. Bovendien moet de serve-configuratie worden beoordeeld en gecontroleerd om ervoor te zorgen dat alleen de bedoelde bestanden en mappen worden geserveerd. De upgrade is de meest effectieve maatregel en wordt ten zeerste aanbevolen om u te beschermen tegen deze kwetsbaarheid.
Actualice el paquete 'serve' a la versión 7.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios en el servidor remoto. Ejecute 'npm install serve@latest' para obtener la versión más reciente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit is een beveiligingsaanval waarmee een aanvaller toegang kan krijgen tot bestanden en mappen op een webserver waar hij geen toegang toe zou moeten hebben. Dit wordt bereikt door bestandspaden te manipuleren.
U kunt de versie van serve controleren door de opdracht serve --version in uw terminal uit te voeren.
Implementeer strikte toegangscontroles op het bestandssysteem en beoordeel de serve-configuratie.
Ja, alle versies vóór 7.1.3 zijn kwetsbaar.
U kunt meer informatie vinden in de CVE-2019-5417-entry in de Common Vulnerabilities and Exposures (CVE)-kwetsbaarheidsdatabase.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.