3.22.1
CVE-2024-6851 beschrijft een Path Traversal kwetsbaarheid in aimhubio/aim, een Python-gebaseerde tracking server. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te verwijderen door een kwaadaardig glob-patroon te gebruiken in de _cleanup functie. De kwetsbaarheid treft versies van aimhubio/aim tot en met 3.22.0. Een fix is beschikbaar in nieuwere versies.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde bestandverwijdering op het systeem waar aimhubio/aim draait. Dit kan resulteren in dataverlies, verstoring van de dienst en mogelijk zelfs compromittering van het hele systeem, afhankelijk van de bestanden die worden verwijderd en de privileges van de proces. De mogelijkheid om willekeurige bestanden te verwijderen maakt dit een ernstige bedreiging, vooral in omgevingen waar aimhubio/aim gevoelige data verwerkt of toegang heeft tot kritieke systeembestanden. Het is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot een directory en vervolgens bestanden kan verwijderen die ze niet mogen aanraken.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-03-20. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar zullen komen. De KEV status is momenteel onbekend.
Organizations and individuals utilizing aimhubio/aim versions 3.22.0 and earlier, particularly those running the tracking server in environments with limited access controls or where the file cleanup functionality is enabled without proper validation, are at significant risk. Shared hosting environments where multiple users have access to the aimhubio/aim installation are also particularly vulnerable.
• python / server:
import os
import glob
def check_file_deletion(directory, pattern):
try:
files = glob.glob(os.path.join(directory, pattern))
for file in files:
if not file.startswith(directory):
print(f"Potential Path Traversal: File {file} outside of directory {directory}")
except Exception as e:
print(f"Error during glob check: {e}")
# Example usage (replace with actual directory and pattern)
directory = '/path/to/aimhubio/aim/data' # Replace with the actual data directory
patter = '*/temp/*' # Replace with the pattern being used
check_file_deletion(directory, pattern)disclosure
Exploit Status
EPSS
0.38% (60% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van aimhubio/aim waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de _cleanup functie en het implementeren van strikte validatie van de glob-patronen die worden gebruikt. Controleer de configuratie van aimhubio/aim om te zorgen dat de directory waarin bestanden worden beheerd, correct is gedefinieerd en dat er geen onbevoegde toegang is. Implementeer een WAF (Web Application Firewall) die verdachte glob-patronen kan detecteren en blokkeren.
Actualice la biblioteca aimhubio/aim a una versión posterior a la 3.22.0 que corrija la vulnerabilidad. Esto evitará la eliminación arbitraria de archivos debido a un patrón glob malicioso. Consulte las notas de la versión para obtener más detalles sobre la corrección.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-6851 is a Path Traversal vulnerability in aimhubio/aim versions up to 3.22.0, allowing attackers to delete arbitrary files using a malicious glob-pattern.
You are affected if you are using aimhubio/aim version 3.22.0 or earlier. Upgrade to a patched version as soon as it becomes available.
Upgrade to a patched version of aimhubio/aim. Until then, restrict access to the file cleanup function and implement strict input validation on glob-patterns.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply mitigations proactively.
Refer to the aimhubio project's official website and GitHub repository for updates and security advisories regarding CVE-2024-6851.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.