Platform
other
Component
anka-build
Opgelost in
1.42.1
CVE-2024-41922 beschrijft een Directory Traversal kwetsbaarheid in Veertu Anka Build, specifiek in de functionaliteit voor het downloaden van logbestanden. Deze kwetsbaarheid stelt een aanvaller in staat om via een speciaal opgebouwde HTTP-request gevoelige informatie te onthullen. De kwetsbaarheid treft versies 1.42.0 van Anka Build. Een fix is beschikbaar in versie 1.42.1.
Een succesvolle exploitatie van deze Directory Traversal kwetsbaarheid kan leiden tot de onthulling van gevoelige informatie die is opgeslagen in de logbestanden van Anka Build. Dit kan inhouden dat configuratiebestanden, inloggegevens of andere vertrouwelijke data in verkeerde handen vallen. De impact is aanzienlijk, omdat een aanvaller geen authenticatie nodig heeft om de kwetsbaarheid te triggeren, waardoor de aanvalsoppervlakte aanzienlijk wordt vergroot. De blootlegging van gevoelige informatie kan leiden tot verdere aanvallen, zoals het verkrijgen van toegang tot het systeem of het compromitteren van de data.
CVE-2024-41922 werd publiekelijk bekendgemaakt op 2024-10-03. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar de eenvoud van de Directory Traversal kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst PoCs zullen verschijnen. De KEV-status is momenteel onbekend. De kwetsbaarheid vereist geen authenticatie, wat de exploitatie ervan vergemakkelijkt.
Organizations utilizing Veertu Anka Build version 1.42.0, particularly those with publicly accessible log file download endpoints, are at risk. Shared hosting environments where multiple users share the same Anka Build instance are also potentially vulnerable.
disclosure
Exploit Status
EPSS
5.24% (90% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-41922 is het upgraden naar Veertu Anka Build versie 1.42.1 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om verdachte HTTP-requests te blokkeren die Directory Traversal pogingen kunnen bevatten. Configureer de WAF om requests met ongebruikelijke paden of dubbele slashes te detecteren en te blokkeren. Controleer de configuratie van Anka Build om te zorgen dat de logbestanden niet toegankelijk zijn via het publieke internet.
Actualice a una versión parcheada de Veertu Anka Build que solucione la vulnerabilidad de path traversal. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las actualizaciones de seguridad tan pronto como estén disponibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-41922 is a directory traversal vulnerability in Veertu Anka Build versions 1.42.0, allowing attackers to potentially access sensitive files via HTTP requests.
If you are using Veertu Anka Build version 1.42.0, you are potentially affected by this vulnerability. Upgrade to 1.42.1 or later to mitigate the risk.
The recommended fix is to upgrade Veertu Anka Build to version 1.42.1 or a later version. As a temporary workaround, restrict access to the log file download endpoint using a WAF.
As of the current date, there are no confirmed reports of CVE-2024-41922 being actively exploited in the wild.
Please refer to the Veertu security advisory for CVE-2024-41922 on the Veertu website for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.