Platform
python
Component
netease-youdao/qanything
CVE-2024-12866 beschrijft een local file inclusion (LFI) kwetsbaarheid in qanything, een Python-tool. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het bestandssysteem te lezen, wat kan leiden tot het blootleggen van gevoelige informatie. De kwetsbaarheid treft versies van qanything tot en met de laatste beschikbare versie. Een oplossing is beschikbaar in de vorm van een upgrade naar een beveiligde versie.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om gevoelige bestanden te lezen, zoals SSH-sleutels, configuratiebestanden en broncode. Het verkrijgen van SSH-sleutels kan leiden tot verdere toegang tot het systeem en mogelijk tot laterale beweging binnen het netwerk. Het blootleggen van broncode kan waardevolle informatie onthullen over de werking van de applicatie en potentiële aanvullende kwetsbaarheden. De kwetsbaarheid is vergelijkbaar met andere LFI-exploitatiepatronen waarbij de aanvaller de bestandsstructuur misbruikt om toegang te krijgen tot gevoelige data.
De kwetsbaarheid is openbaar bekend sinds 2025-03-20. Er is geen informatie beschikbaar over actieve campagnes of KEV-status op het moment van schrijven. Er zijn geen publieke proof-of-concept exploits bekend, maar de LFI-aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De NVD-datum is 2025-03-20.
Systems running qanything in production environments, particularly those with default configurations or inadequate access controls, are at significant risk. Development environments and testing servers also face exposure. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's qanything instance could lead to the compromise of the entire server.
• python / server:
import os
import requests
url = 'http://your-qanything-server/qanything?file='
# Attempt to read a sensitive file (replace with a known path)
try:
response = requests.get(url + '/etc/passwd')
if response.status_code == 200:
print('Potential LFI detected: File content retrieved.')
else:
print('File access denied.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• linux / server:
journalctl -u qanything -f | grep -i "file:"• generic web:
curl -I http://your-qanything-server/qanything?file=/etc/passwddisclosure
Exploit Status
EPSS
0.25% (48% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van qanything naar de meest recente versie, zodra beschikbaar. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de directory's waar de kwetsbaarheid zich bevindt. Controleer de configuratie van qanything om te verzekeren dat onnodige bestandsinclusies worden voorkomen. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot bestandsinclusie detecteren en blokkeren. Na de upgrade, verifieer de fix door te proberen een willekeurig bestand buiten de toegestane directory te benaderen via de kwetsbare endpoint; dit zou moeten resulteren in een foutmelding.
Actualice qanything a una versión posterior a la 2.0.0 que corrija la vulnerabilidad de inclusión de archivos locales. Consulte las notas de la versión o el registro de cambios del proyecto para obtener más detalles sobre la corrección. Como medida temporal, restrinja el acceso a los archivos sensibles del sistema y valide las entradas de los usuarios para evitar la manipulación de rutas de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12866 is a Local File Inclusion vulnerability in the qanything Python application, allowing attackers to read arbitrary files.
You are affected if you are using qanything version ≤ latest. Check your installed version and upgrade as soon as a patch is available.
Upgrade to a patched version of qanything. Until a patch is available, restrict file access and validate input.
There are currently no known active exploits, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the netease-youdao project repository and relevant security mailing lists for updates on the advisory and patch release.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.