Platform
python
Component
widgetti/solara
Opgelost in
1.35.2
A Local File Inclusion (LFI) vulnerability has been identified in Solara, a Python framework for scaling Jupyter and web apps. This flaw allows attackers to potentially read arbitrary files on the local file system by manipulating URI fragments. The vulnerability affects versions of Solara prior to 1.35.1, with a fix released in version 1.35.1. Prompt patching is recommended to prevent unauthorized file access.
Een succesvolle exploitatie van deze LFI-kwetsbaarheid stelt een aanvaller in staat om gevoelige informatie van het lokale bestandssysteem te onthullen. Dit kan configuratiebestanden, broncode, of andere gevoelige data omvatten. Afhankelijk van de bestanden die toegankelijk zijn, kan de aanvaller mogelijk toegang krijgen tot credentials, API-sleutels, of andere informatie die misbruikt kan worden voor verdere aanvallen. De impact kan aanzienlijk zijn, vooral als de server toegang heeft tot gevoelige data of als de kwetsbaarheid gebruikt kan worden om toegang te krijgen tot andere systemen binnen het netwerk. Hoewel de kwetsbaarheid lokaal bestandstoegang vereist, kan dit in bepaalde configuraties een aanzienlijke blast radius hebben.
Op het moment van schrijven is er geen publieke exploitatie van CVE-2024-39903 bekend. De kwetsbaarheid is openbaar gemaakt op 2024-07-12. Er is geen vermelding op de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits beschikbaar, maar de LFI-aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. Het is belangrijk om proactief te zijn en de mitigatiemaatregelen te implementeren.
Organizations deploying Solara for web applications, particularly those serving sensitive data or running in environments with limited security controls, are at risk. Shared hosting environments where users have the ability to influence URI parameters are also particularly vulnerable.
• python / server:
# Check for vulnerable Solara versions
python -c "import solara; print(solara.__version__)"• generic web:
# Check for URI fragment manipulation attempts in access logs
grep -i '..\/' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
46.55% (98% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-39903 is het upgraden van Solara naar versie 1.35.1 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan om de toegang tot de Solara-applicatie te beperken en de configuratie te controleren op onnodige bestandstoegrechten. Implementeer een Web Application Firewall (WAF) met regels die directory traversal aanvallen detecteren en blokkeren (bijvoorbeeld regels die '../' patronen in URL's filteren). Zorg ervoor dat de applicatie draait met de minste benodigde privileges om het risico te beperken. Na de upgrade, controleer de applicatielogboeken op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare URI te benaderen.
Actualice la biblioteca Solara a la versión 1.35.1 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install solara --upgrade`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-39903 is a Local File Inclusion vulnerability in Solara versions 1.35.1 and earlier, allowing attackers to read arbitrary files on the server.
You are affected if you are using Solara versions less than or equal to 1.35.1. Upgrade to 1.35.1 or later to resolve the vulnerability.
Upgrade Solara to version 1.35.1 or later. Consider implementing WAF rules to block malicious URI fragments as a temporary workaround.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the Solara project's official release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.