Platform
python
Component
devika
Opgelost in
-
CVE-2024-6433 is een kwetsbaarheid die het mogelijk maakt voor een aanvaller om willekeurige bestanden op het systeem te lezen via de devika applicatie. Deze kwetsbaarheid ontstaat doordat de applicatie alle bestanden in een door de gebruiker opgegeven map comprimeert, zonder voldoende validatie van de paden. Dit stelt aanvallers in staat om gevoelige informatie te extraheren door een speciaal ontworpen snapshot_path parameter te gebruiken. Er zijn momenteel geen beveiligde versies beschikbaar.
De impact van deze kwetsbaarheid is significant, omdat een succesvolle exploitatie de aanvaller toegang kan geven tot gevoelige data op het systeem. Dit kan omvatten configuratiebestanden, broncode, database credentials, of andere vertrouwelijke informatie. De aanvaller kan deze data gebruiken voor verdere aanvallen, zoals het verkrijgen van toegang tot andere systemen binnen het netwerk (laterale beweging) of het compromitteren van de integriteit van de applicatie. Het risico is vergelijkbaar met scenario's waarbij ongevalideerde user input direct wordt gebruikt in bestandspaden, wat vaak leidt tot onbedoelde toegang tot bestanden buiten de beoogde directory.
Deze kwetsbaarheid is openbaar bekend sinds 2024-07-10. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de publicatie van de CVE maakt het waarschijnlijk dat aanvallers de kwetsbaarheid zullen proberen te exploiteren. De EPSS score is momenteel niet bekend, maar gezien de eenvoud van de exploitatie en de potentiële impact, is het waarschijnlijk dat deze als medium of hoog wordt ingeschaald. Er zijn geen bekende public proof-of-concept exploits op dit moment.
Organizations deploying devika in environments where user input directly influences file access are at risk. This includes deployments with weak input validation or where the application's user account has excessive permissions. Shared hosting environments where multiple users share the same devika instance are also particularly vulnerable.
• python / server:
grep -r 'snapshot_path=' /path/to/devika/source_code• generic web:
curl -I 'http://your-devika-instance/zip?snapshot_path=../../../../etc/passwd' # Check for 200 OK responsedisclosure
Exploit Status
EPSS
0.41% (61% percentiel)
CISA SSVC
CVSS-vector
Omdat er momenteel geen beveiligde versie van devika beschikbaar is, is het cruciaal om mitigaties te implementeren om het risico te beperken. Een effectieve maatregel is het strikt valideren van de snapshotpath parameter, zodat deze alleen toegang heeft tot de beoogde directory. Dit kan worden bereikt door een whitelist van toegestane paden te gebruiken of door de input te sanitizen om potentieel schadelijke karakters te verwijderen. Overweeg ook het implementeren van een Web Application Firewall (WAF) die verzoeken met verdachte snapshotpath parameters kan blokkeren. Totdat een beveiligde versie beschikbaar is, is het raadzaam om de devika applicatie uit te schakelen of te isoleren van gevoelige data.
Actualice la biblioteca stitionai/devika a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Asegúrese de validar y sanitizar correctamente las rutas proporcionadas por el usuario antes de utilizarlas para crear archivos ZIP. Evite permitir que los usuarios especifiquen rutas arbitrarias en el sistema de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-6433 is a vulnerability in devika that allows an attacker to read arbitrary files by manipulating the snapshot_path parameter. It is rated as HIGH severity with a CVSS score of 7.5.
You are affected if you are using devika prior to a patch release. The vulnerability impacts versions before a fix is available.
Currently, there is no fixed version available. Mitigation involves strict input validation on the snapshot_path parameter and restricting the application's user account permissions.
There are currently no known public exploits or confirmed active exploitation campaigns for CVE-2024-6433.
Refer to the devika project's official website or GitHub repository for updates and advisories related to CVE-2024-6433.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.