Plataforma
nodejs
Componente
serve
Corrigido em
7.1.4
7.1.3
CVE-2019-5417 é uma vulnerabilidade de Directory Traversal no pacote 'serve'. Ela permite que atacantes acessem arquivos do sistema sem autorização devido à falta de tratamento adequado dos caminhos de arquivos. Afeta versões anteriores à 7.1.3. A vulnerabilidade foi corrigida na versão 7.1.3.
A vulnerabilidade CVE-2019-5417 no serve permite que atacantes realizem ataques de travessia de diretório (Directory Traversal). Isso se deve à falta de validação adequada dos caminhos de arquivo, permitindo que um atacante acesse arquivos e diretórios sensíveis no sistema operacional subjacente. Um atacante pode, potencialmente, ler arquivos de configuração, código-fonte ou outros dados confidenciais que não deveriam ser acessíveis externamente. A severidade desta vulnerabilidade é classificada como 7.5 na escala CVSS, indicando um risco significativo. A falta de sanitização dos caminhos de arquivo expõe o sistema a riscos de segurança consideráveis, especialmente em ambientes onde o serve é usado para servir conteúdo web de locais não controlados.
Esta vulnerabilidade é explorada manipulando os caminhos de arquivo fornecidos à ferramenta serve. Um atacante pode usar sequências como ../ para navegar fora do diretório raiz pretendido e acessar arquivos em locais não autorizados. A exploração é relativamente simples e não requer habilidades técnicas avançadas. O risco é maior em ambientes onde o serve é usado para servir conteúdo de um diretório que o atacante pode controlar, pois isso permite que ele injete caminhos maliciosos. A vulnerabilidade afeta todas as versões do serve anteriores a 7.1.3.
Status do Exploit
EPSS
0.61% (percentil 70%)
Vetor CVSS
A solução recomendada para mitigar a vulnerabilidade CVE-2019-5417 é atualizar a versão do serve para 7.1.3 ou posterior. Essas versões incluem correções que validam e sanitizam os caminhos de arquivo, prevenindo o acesso não autorizado. Se não for possível atualizar imediatamente, recomenda-se implementar controles de acesso rigorosos no sistema de arquivos para limitar o acesso a diretórios sensíveis. Além disso, a configuração do serve deve ser revisada e auditada para garantir que apenas os arquivos e diretórios pretendidos sejam servidos. A atualização é a medida mais eficaz e é fortemente recomendada para proteger contra esta vulnerabilidade.
Actualice el paquete 'serve' a la versión 7.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios en el servidor remoto. Ejecute 'npm install serve@latest' para obtener la versión más reciente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um ataque de segurança que permite a um atacante acessar arquivos e diretórios em um servidor web que não deveriam ser acessíveis. Isso é alcançado manipulando os caminhos de arquivo.
Você pode verificar a versão do serve executando o comando serve --version no seu terminal.
Implemente controles de acesso rigorosos no sistema de arquivos e revise a configuração do serve.
Sim, todas as versões anteriores a 7.1.3 são vulneráveis.
Você pode encontrar mais informações na entrada CVE-2019-5417 no banco de dados de vulnerabilidades de Common Vulnerabilities and Exposures (CVE).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.