Platform
nodejs
Component
@oakserver/oak
Opgelost in
17.1.4
14.1.1
CVE-2024-49770 beschrijft een Path Traversal kwetsbaarheid in de @oakserver/oak Node.js module. Deze kwetsbaarheid stelt aanvallers in staat om verborgen bestanden te benaderen door de URL-encoding van de scheidingsteken '/' te misbruiken. De kwetsbaarheid treft versies van @oakserver/oak tot en met 14.1.0. Een upgrade naar versie 17.1.3 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op het systeem waarop de @oakserver/oak module draait. Dit omvat potentieel configuratiebestanden, broncode, of andere data die door de applicatie wordt gebruikt. Aanvallers kunnen deze data gebruiken om verdere aanvallen uit te voeren, zoals het verkrijgen van inloggegevens, het wijzigen van de applicatieconfiguratie, of het compromitteren van de hele server. Het misbruiken van URL-encoding om bestanden te benaderen die normaal verborgen zouden moeten zijn, is een veelvoorkomende aanvalstechniek die in andere contexten ook is waargenomen.
Op dit moment is er geen publieke exploitatie van CVE-2024-49770 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen actieve campagnes bekend die deze kwetsbaarheid misbruiken. De publicatie van de CVE vond plaats op 2024-11-01.
Applications and services built using @oakserver/oak versions prior to 17.1.3 are at risk. This includes web applications, APIs, and other backend systems that rely on @oakserver/oak for routing and file handling. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially expose files from others.
• nodejs / server:
npm list @oakserver/oak• nodejs / server:
find / -name "node_modules/@oakserver/oak/send.ts" -print• nodejs / server:
grep -r '%2F' /path/to/oak/project/disclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-49770 is het upgraden van de @oakserver/oak module naar versie 17.1.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om een Web Application Firewall (WAF) te implementeren die URL-encoding van scheidingstekens blokkeert. Controleer ook de configuratie van de applicatie om te zorgen dat er geen onnodige bestanden toegankelijk zijn via de webserver. Na de upgrade, verifieer de fix door te proberen een verborgen bestand te benaderen via een URL met URL-encoded scheidingstekens; dit zou nu moeten falen.
Actualice la dependencia `oak` a la versión 17.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite el acceso a archivos ocultos. Ejecute `npm update oak` o `yarn upgrade oak` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-49770 is a Path Traversal vulnerability in @oakserver/oak that allows attackers to bypass hidden file restrictions by URL encoding / as %2F, potentially exposing sensitive data.
Yes, if you are using @oakserver/oak versions less than or equal to 14.1.0, you are affected by this vulnerability.
Upgrade to version 17.1.3 or later of @oakserver/oak to remediate the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the ease of exploitation suggests a potential risk.
Refer to the @oakserver/oak project's repository and release notes for the official advisory and details on the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.