Plataforma
python
Componente
netease-youdao/qanything
Uma vulnerabilidade de inclusão de arquivo local (LFI) foi descoberta no qanything, versão v2.0.0 e anteriores. Essa falha permite que um atacante localmente acesse e leia arquivos arbitrários no sistema de arquivos do servidor. A exploração bem-sucedida pode levar à exposição de informações sensíveis, como chaves SSH privadas, código-fonte e arquivos de configuração, abrindo caminho para a execução remota de código.
A vulnerabilidade de inclusão de arquivo local (LFI) no qanything permite que um atacante obtenha acesso não autorizado a arquivos confidenciais no servidor. Ao manipular o parâmetro de inclusão de arquivo, o atacante pode forçar o aplicativo a incluir arquivos que não deveriam ser acessíveis. Isso pode resultar na exposição de chaves SSH privadas, permitindo que o atacante obtenha acesso ao servidor. Além disso, o atacante pode ler o código-fonte do aplicativo e arquivos de configuração, o que pode revelar informações adicionais sobre a arquitetura e a funcionalidade do sistema, facilitando a identificação de outras vulnerabilidades. A leitura de arquivos de configuração pode expor credenciais de banco de dados ou outras informações sensíveis, permitindo que o atacante comprometa outros sistemas na rede.
A vulnerabilidade CVE-2024-12866 foi divulgada em 2025-03-20. Não há informações disponíveis sobre a inclusão em KEV ou a pontuação EPSS. Atualmente, não há provas públicas de um proof-of-concept (PoC) disponível, mas a natureza da vulnerabilidade LFI a torna potencialmente explorável. A ausência de um PoC público não significa que a vulnerabilidade não possa ser explorada.
Systems running qanything in production environments, particularly those with default configurations or inadequate access controls, are at significant risk. Development environments and testing servers also face exposure. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's qanything instance could lead to the compromise of the entire server.
• python / server:
import os
import requests
url = 'http://your-qanything-server/qanything?file='
# Attempt to read a sensitive file (replace with a known path)
try:
response = requests.get(url + '/etc/passwd')
if response.status_code == 200:
print('Potential LFI detected: File content retrieved.')
else:
print('File access denied.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• linux / server:
journalctl -u qanything -f | grep -i "file:"• generic web:
curl -I http://your-qanything-server/qanything?file=/etc/passwddisclosure
Status do Exploit
EPSS
0.25% (percentil 48%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-12866 é atualizar o qanything para a versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, implemente medidas de segurança adicionais para reduzir o risco. Restrinja o acesso ao diretório onde o qanything está instalado, limitando o acesso apenas a usuários e processos autorizados. Implemente uma política de controle de acesso rigorosa para garantir que os usuários não possam acessar arquivos que não precisam. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados. Considere a implementação de um Web Application Firewall (WAF) para filtrar solicitações maliciosas e bloquear tentativas de exploração.
Actualice qanything a una versión posterior a la 2.0.0 que corrija la vulnerabilidad de inclusión de archivos locales. Consulte las notas de la versión o el registro de cambios del proyecto para obtener más detalles sobre la corrección. Como medida temporal, restrinja el acceso a los archivos sensibles del sistema y valide las entradas de los usuarios para evitar la manipulación de rutas de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-12866 is a Local File Inclusion vulnerability in the qanything Python application, allowing attackers to read arbitrary files.
You are affected if you are using qanything version ≤ latest. Check your installed version and upgrade as soon as a patch is available.
Upgrade to a patched version of qanything. Until a patch is available, restrict file access and validate input.
There are currently no known active exploits, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the netease-youdao project repository and relevant security mailing lists for updates on the advisory and patch release.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.