Plataforma
python
Componente
devika
Corrigido em
-
Uma vulnerabilidade de Directory Traversal foi descoberta na API /api/download-project-pdf do repositório stitionai/devika, afetando a versão mais recente. A falha ocorre devido à falta de sanitização adequada do parâmetro 'project_name', permitindo que atacantes acessem arquivos PDF arbitrários no sistema. Esta vulnerabilidade pode levar à exposição de informações sensíveis armazenadas em formato PDF.
Um atacante pode explorar esta vulnerabilidade manipulando o parâmetro 'project_name' em uma requisição GET para a API /api/download-project-pdf. Ao fazê-lo, o atacante pode contornar as restrições de diretório e acessar arquivos PDF armazenados fora do diretório pretendido. Isso pode resultar na exposição de informações confidenciais, como documentos internos, dados de clientes ou informações financeiras, dependendo do conteúdo dos arquivos PDF acessíveis. O impacto potencial é alto, pois a vulnerabilidade permite o acesso não autorizado a dados sensíveis.
A vulnerabilidade foi divulgada em 27 de junho de 2024. Não há informações disponíveis sobre a adição à KEV ou sobre a existência de Proof-of-Concepts (PoCs) públicos. A probabilidade de exploração é considerada moderada, dada a facilidade de exploração e a falta de mitigação imediata.
Organizations utilizing the stitionai/devika project, particularly those deploying it in production environments without proper security hardening, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as an attacker could potentially access PDF files belonging to other users.
• linux / server:
journalctl -u devika -f | grep "download_project_pdf"• generic web:
curl -I 'http://your-devika-server/api/download-project-pdf?project_name=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200 OKdisclosure
Status do Exploit
EPSS
1.26% (percentil 79%)
CISA SSVC
Vetor CVSS
Como não há versão corrigida disponível, a mitigação imediata deve se concentrar em restringir o acesso à API /api/download-project-pdf. Implemente uma validação rigorosa do parâmetro 'project_name', garantindo que ele corresponda apenas a padrões esperados e não contenha sequências como '..'. Considere a utilização de um Web Application Firewall (WAF) para bloquear requisições maliciosas. Além disso, revise as permissões de acesso aos diretórios onde os arquivos PDF estão armazenados, garantindo que apenas usuários autorizados tenham acesso de leitura. Monitore os logs do servidor em busca de tentativas de acesso não autorizado.
Actualice la biblioteca devika a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro 'project_name', para evitar el acceso no autorizado a archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-5547 is a Directory Traversal vulnerability in the stitionai/devika project's /api/download-project-pdf endpoint, allowing attackers to download arbitrary PDF files.
If you are using the latest version of stitionai/devika and have not implemented mitigating controls, you are potentially affected by this vulnerability.
Currently, no official fix is available. Mitigate by implementing strict input validation, WAF rules, and restricting file system permissions.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation.
Check the stitionai/devika repository and related communication channels for updates and advisories regarding CVE-2024-5547.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.