Platform
python
Component
devika
Opgelost in
-
Er is een directory traversal kwetsbaarheid ontdekt in de /api/download-project-pdf endpoint van de stitionai/devika repository. Deze kwetsbaarheid, die voortvloeit uit onvoldoende validatie van de 'project_name' parameter, stelt aanvallers in staat om bestanden buiten de beoogde directory te downloaden. De kwetsbaarheid treft de laatste versie van Devika en vereist onmiddellijke aandacht. Er is momenteel geen officiële patch beschikbaar.
Een succesvolle exploitatie van deze directory traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige PDF-bestanden van het systeem te downloaden. Dit omvat potentieel gevoelige informatie die in PDF-formaat is opgeslagen, zoals projectdocumenten, financiële rapporten of andere vertrouwelijke gegevens. De impact kan aanzienlijk zijn, met name als de bestanden toegang verlenen tot kritieke systemen of persoonlijke gegevens. De aanval kan vergelijkbaar zijn met bekende directory traversal aanvallen, waarbij de aanvaller de directory structuur navigeert om toegang te krijgen tot ongeautoriseerde bestanden. De blast radius is afhankelijk van de gevoeligheid van de PDF-bestanden die toegankelijk zijn via de kwetsbaarheid.
Deze kwetsbaarheid is recentelijk openbaar gemaakt (2024-06-27). Er is momenteel geen vermelding op CISA KEV, maar de CVSS score van 7.5 (HIGH) duidt op een potentieel significant risico. Er zijn geen publieke proof-of-concept exploits bekend, maar de directory traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De repository stitionai/devika is open source, wat het risico op snelle exploitatie vergroot.
Organizations utilizing the stitionai/devika project, particularly those deploying it in production environments without proper security hardening, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as an attacker could potentially access PDF files belonging to other users.
• linux / server:
journalctl -u devika -f | grep "download_project_pdf"• generic web:
curl -I 'http://your-devika-server/api/download-project-pdf?project_name=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200 OKdisclosure
Exploit Status
EPSS
1.26% (79% percentiel)
CISA SSVC
CVSS-vector
Omdat er momenteel geen patch beschikbaar is voor deze kwetsbaarheid, is het essentieel om tijdelijke maatregelen te implementeren om het risico te minimaliseren. Een Web Application Firewall (WAF) kan worden geconfigureerd om verdachte verzoeken met gemanipuleerde 'projectname' parameters te blokkeren. Controleer de toegangsrechten tot de directory waar de PDF-bestanden worden opgeslagen en beperk deze tot de minimaal noodzakelijke gebruikers. Implementeer strenge input validatie op de /api/download-project-pdf endpoint om ervoor te zorgen dat de 'projectname' parameter alleen toegestane waarden bevat. Monitor de logbestanden op verdachte activiteit, zoals pogingen om bestanden buiten de beoogde directory te downloaden. Na implementatie van deze maatregelen, controleer de configuratie van de WAF en de toegangsrechten om te verzekeren dat de mitigatie effectief is.
Actualice la biblioteca devika a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro 'project_name', para evitar el acceso no autorizado a archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-5547 is a Directory Traversal vulnerability in the stitionai/devika project's /api/download-project-pdf endpoint, allowing attackers to download arbitrary PDF files.
If you are using the latest version of stitionai/devika and have not implemented mitigating controls, you are potentially affected by this vulnerability.
Currently, no official fix is available. Mitigate by implementing strict input validation, WAF rules, and restricting file system permissions.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation.
Check the stitionai/devika repository and related communication channels for updates and advisories regarding CVE-2024-5547.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.