Platform
python
Component
devika
Opgelost in
-
Er is een directory traversal kwetsbaarheid ontdekt in de stitionai/devika repository, specifiek in het /api/download-project endpoint. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden van het systeem te downloaden door de 'project_name' parameter in een GET-verzoek te manipuleren. De kwetsbaarheid beïnvloedt alle versies van de repository en is het gevolg van onvoldoende inputvalidatie. Op dit moment is er geen beveiligde versie beschikbaar.
Een succesvolle exploitatie van deze directory traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op het systeem. Aanvallers kunnen potentieel configuratiebestanden, broncode of andere vertrouwelijke gegevens downloaden. De impact is aanzienlijk, omdat de aanvallers de directory structuur kunnen doorlopen en bestanden buiten de beoogde directory kunnen benaderen. Dit kan resulteren in datalekken, compromittering van de server en mogelijk verdere toegang tot andere systemen binnen het netwerk.
Deze kwetsbaarheid is publiekelijk bekend sinds 27 juni 2024. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De KEV-status is momenteel onbekend. De CVSS score van 7.5 (HIGH) geeft aan dat deze kwetsbaarheid een aanzienlijk risico vormt.
Organizations deploying Devika in environments with inadequate input validation or access controls are at risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other users' data through this vulnerability. Systems with legacy configurations or those lacking robust security monitoring are also at increased risk.
• linux / server: Monitor access logs for requests to /api/download-project containing suspicious characters like ../ or absolute paths. Use grep to search for these patterns.
grep 'project_name=.*\.\.' /var/log/nginx/access.log• generic web: Use curl to test the endpoint with various payloads containing path traversal sequences.
curl 'http://your-devika-server/api/download-project?project_name=../../../../etc/passwd'• generic web: Examine response headers for unexpected content types or file extensions that indicate unauthorized file access.
• linux / server: Use auditd to monitor access to sensitive files and directories. Create an audit rule to log attempts to access files outside the intended directory.
auditctl -w / -p wa -k devika_traversaldisclosure
Exploit Status
EPSS
0.89% (75% percentiel)
CISA SSVC
CVSS-vector
Omdat er momenteel geen beveiligde versie beschikbaar is, is het essentieel om mitigatiemaatregelen te implementeren. Configureer een Web Application Firewall (WAF) om requests met verdachte directory traversal patronen te blokkeren. Implementeer strenge inputvalidatie op de server-side om te voorkomen dat aanvallers de 'project_name' parameter kunnen manipuleren. Controleer de toegangsrechten van bestanden en directories om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige gegevens. Overweeg tijdelijk het /api/download-project endpoint uit te schakelen totdat een beveiligde versie beschikbaar is.
Actualice a la última versión de devika. El commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 contiene la solución a la vulnerabilidad. Asegúrese de validar y sanitizar correctamente la entrada 'project_name' para evitar el recorrido de directorios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-5548 is a directory traversal vulnerability in the stitionai/devika repository, allowing attackers to download arbitrary files by manipulating the project_name parameter. It has a CVSS score of 7.5 (HIGH).
All versions of the stitionai/devika repository are affected by this vulnerability due to insufficient input validation. If you are using Devika, you are potentially at risk.
Currently, no official fix is available. Mitigate by implementing WAF rules, restricting access to the /api/download-project endpoint, and enforcing strict access controls on the file system.
As of now, there is no confirmed evidence of active exploitation campaigns targeting CVE-2024-5548, but the high CVSS score suggests a potential risk.
Refer to the stitionai/devika repository for updates and advisories related to CVE-2024-5548. Check their GitHub repository for announcements.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.