Platform
python
Component
dosage
Opgelost in
3.2.1
3.2
CVE-2025-64184 beschrijft een Directory Traversal kwetsbaarheid in Dosage, een Python-applicatie voor het downloaden en organiseren van webcomics. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te schrijven, wat kan leiden tot compromittering van het systeem. De kwetsbaarheid treedt op in versies van Dosage tot en met 3.1 en is verholpen in versie 3.2.
De Directory Traversal kwetsbaarheid in Dosage ontstaat doordat de applicatie de bestandsnaam voor gedownloade comic-afbeeldingen samenstelt op basis van verschillende elementen, waaronder de HTTP Content-Type header. Een aanvaller, of een Man-in-the-Middle, kan deze header manipuleren om een willekeurige bestandsnaam te creëren, waardoor bestanden buiten de beoogde doelmap kunnen worden geschreven. Dit kan leiden tot overschrijven van cruciale systeembestanden, installatie van malware of het verkrijgen van ongeautoriseerde toegang tot gevoelige informatie. De impact is aanzienlijk, aangezien een succesvolle exploitatie kan resulteren in een volledige compromittering van de server.
Op dit moment is er geen publieke exploitatie van CVE-2025-64184 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-11-04. Het is belangrijk om te benadrukken dat een Man-in-the-Middle aanval vereist is om de Content-Type header te manipuleren, wat de exploitatie complexer maakt. De CISA KEV status is momenteel onbekend.
Systems running vulnerable versions of Dosage (≤3.1) are at risk, particularly those serving comics over HTTP rather than HTTPS, making them susceptible to Man-in-the-Middle attacks. Shared hosting environments where multiple users share the same Dosage instance are also at increased risk, as an attacker could potentially exploit the vulnerability to affect other users' files.
• python / server:
# Check for vulnerable versions of Dosage
python3 -c 'import dosage; print(dosage.__version__)'• generic web:
# Check access logs for unusual file creation attempts or unexpected file extensions
grep -i 'Content-Type: image/.*' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.20% (42% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-64184 is het upgraden van Dosage naar versie 3.2 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die de Content-Type header valideert en manipulaties blokkeert. Controleer ook de configuratie van de server om ervoor te zorgen dat de doelmap voor de comic-afbeeldingen correct is beveiligd en dat er geen ongeautoriseerde toegang mogelijk is. Na de upgrade, controleer de logbestanden op verdachte activiteiten en verifieer dat de bestandsnaamgeneratie correct functioneert.
Actualice Dosage a la versión 3.2 o superior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente la extensión del archivo basada en el contenido en lugar de la cabecera HTTP Content-Type. Esto evitará que un atacante escriba archivos fuera del directorio deseado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-64184 is a Directory Traversal vulnerability in Dosage Comic Server versions 3.1 and earlier, allowing attackers to potentially write arbitrary files outside the intended directory by manipulating HTTP Content-Type headers.
You are affected if you are running Dosage Comic Server version 3.1 or earlier. Upgrade to version 3.2 or later to mitigate the vulnerability.
Upgrade Dosage Comic Server to version 3.2 or later. As an interim measure, implement a WAF or proxy to filter HTTP Content-Type headers.
As of the current assessment, there are no known public exploits or active campaigns targeting CVE-2025-64184.
Refer to the official Dosage GitHub repository for updates and advisories: https://github.com/webcomics/dosage
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.