Plataforma
nodejs
Componente
@oakserver/oak
Corrigido em
17.1.4
14.1.1
A vulnerabilidade CVE-2024-49770 é um Path Traversal descoberto no pacote @oakserver/oak, um framework Node.js. Exploração bem-sucedida permite o acesso a arquivos ocultos, potencialmente expondo informações sensíveis. A vulnerabilidade afeta versões do @oakserver/oak até a 14.1.0. A correção está disponível na versão 17.1.3.
Um atacante pode explorar essa vulnerabilidade codificando o caractere / como %2F em URLs. O framework @oakserver/oak, por padrão, não permite o acesso a arquivos ocultos, mas a função decodeComponent não lida corretamente com URLs codificadas, permitindo que um atacante contorne essa proteção. Isso pode levar à leitura de arquivos confidenciais no servidor, como arquivos de configuração, chaves de API ou dados de usuários. O impacto potencial é a exposição de informações sensíveis e a possível comprometimento do sistema.
A vulnerabilidade foi publicada em 01 de novembro de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
Applications and services built using @oakserver/oak versions prior to 17.1.3 are at risk. This includes web applications, APIs, and other backend systems that rely on @oakserver/oak for routing and file handling. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially expose files from others.
• nodejs / server:
npm list @oakserver/oak• nodejs / server:
find / -name "node_modules/@oakserver/oak/send.ts" -print• nodejs / server:
grep -r '%2F' /path/to/oak/project/disclosure
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o pacote @oakserver/oak para a versão 17.1.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar workarounds, como validar e sanitizar rigorosamente todas as entradas de URL antes de usá-las em operações de arquivo. Implementar regras em um Web Application Firewall (WAF) para bloquear requisições com URLs codificadas que contenham / também pode ajudar a mitigar o risco. Monitore logs de acesso e erro em busca de padrões suspeitos, como tentativas de acesso a arquivos fora do diretório raiz.
Actualice la dependencia `oak` a la versión 17.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite el acceso a archivos ocultos. Ejecute `npm update oak` o `yarn upgrade oak` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-49770 is a Path Traversal vulnerability in @oakserver/oak that allows attackers to bypass hidden file restrictions by URL encoding / as %2F, potentially exposing sensitive data.
Yes, if you are using @oakserver/oak versions less than or equal to 14.1.0, you are affected by this vulnerability.
Upgrade to version 17.1.3 or later of @oakserver/oak to remediate the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the ease of exploitation suggests a potential risk.
Refer to the @oakserver/oak project's repository and release notes for the official advisory and details on the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.