7.0.1
7.0.0
A vulnerabilidade CVE-2019-5415 é um Path Traversal que afeta versões do 'serve'. Essa falha permite que atacantes acessem pastas e arquivos ocultos, mesmo que explicitamente ignorados, através da manipulação de caminhos com a sequência '/./'. As versões afetadas são anteriores à 7.0.1. A vulnerabilidade foi corrigida na versão 7.0.0.
A vulnerabilidade CVE-2019-5415 no serve permite que atacantes acessem arquivos e diretórios ocultos ou não autorizados através de manipulação de caminho. Versões do serve anteriores a 7.0.1 são suscetíveis a este problema de travessia de caminho. Especificamente, o uso da sequência /./ no caminho solicitado pode contornar as regras de exclusão de pastas definidas, permitindo o acesso a conteúdo sensível que normalmente estaria protegido. Isso pode incluir arquivos de configuração, código-fonte ou dados confidenciais, comprometendo a segurança da aplicação ou do servidor que utiliza serve. A severidade CVSS é de 7.5, indicando um risco alto.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação maliciosa para o serve que inclua um caminho manipulado com /./. Por exemplo, tentar acessar um arquivo dentro de uma pasta excluída pode ser bem-sucedido ao incluir /./ no caminho. Isso é particularmente preocupante em ambientes de desenvolvimento ou teste, onde arquivos sensíveis podem ser expostos. A facilidade de exploração e o impacto potencial na confidencialidade dos dados tornam esta vulnerabilidade uma preocupação significativa.
Development teams using serve to serve static files during development are particularly at risk. Shared hosting environments where users have limited control over their server configuration are also vulnerable if the serve package is installed and not properly updated. Projects relying on older versions of serve in automated build pipelines are also exposed.
• nodejs / server:
npm list serveCheck the version of serve installed in your project. If it's less than 7.0.1, you are vulnerable.
• generic web:
curl -I <yourserveurl>/../../../../etc/passwd
Attempt to access sensitive files using path traversal. A successful response indicates a vulnerability.
disclosure
Status do Exploit
EPSS
0.32% (percentil 55%)
Vetor CVSS
A solução recomendada para mitigar esta vulnerabilidade é atualizar para a versão 7.0.1 ou posterior do serve. Esta versão corrige o problema de travessia de caminho ao lidar corretamente com caminhos que contêm a sequência /./. Certifique-se de fazer um backup da sua configuração atual antes de atualizar. Além disso, revise as políticas de segurança da sua aplicação para garantir que medidas de proteção adicionais contra o acesso não autorizado a arquivos e diretórios estejam em vigor. A atualização é a forma mais eficaz de se proteger contra esta vulnerabilidade e manter a integridade dos seus dados.
Actualice la versión de `serve` a la versión 7.0.1 o superior. Esto corregirá la vulnerabilidad en el manejo de archivos y directorios ignorados, impidiendo que un atacante acceda a recursos no permitidos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A travessia de caminho é uma vulnerabilidade que permite a um atacante acessar arquivos e diretórios fora do diretório raiz pretendido de uma aplicação.
Se você estiver usando uma versão vulnerável do serve, um atacante pode acessar arquivos confidenciais, comprometendo a segurança da sua aplicação.
Se você não puder atualizar imediatamente, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor e monitorar atividades suspeitas.
Você pode encontrar mais informações sobre esta vulnerabilidade no banco de dados de vulnerabilidades do NIST: https://nvd.nist.gov/vuln/detail/CVE-2019-5415
Existem ferramentas de análise de segurança que podem detectar esta vulnerabilidade. Consulte sua equipe de segurança para obter recomendações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.