Plataforma
python
Componente
devika
Corrigido em
-
Uma vulnerabilidade de Directory Traversal foi descoberta no repositório stitionai/devika, especificamente no endpoint /api/download-project. Atacantes podem explorar essa falha manipulando o parâmetro 'projectname' em uma requisição GET para baixar arquivos arbitrários do sistema. A vulnerabilidade afeta a versão mais recente do repositório e ocorre devido à falta de validação de entrada na função 'downloadproject'.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante contorne as restrições de acesso ao sistema de arquivos. Ao manipular o parâmetro 'project_name', o atacante pode navegar pela estrutura de diretórios e acessar arquivos que não deveriam estar acessíveis. Isso pode levar à exposição de informações confidenciais, como arquivos de configuração, chaves de API, ou até mesmo código-fonte. O impacto potencial é significativo, pois um atacante pode obter acesso a dados sensíveis e comprometer a integridade do sistema.
A vulnerabilidade foi divulgada em 27 de junho de 2024. Não há informações disponíveis sobre a adição à KEV ou a existência de Proof-of-Concepts (PoCs) públicos no momento. A gravidade é classificada como ALTA (CVSS 7.5), indicando um risco significativo para sistemas vulneráveis.
Organizations deploying Devika in environments with inadequate input validation or access controls are at risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other users' data through this vulnerability. Systems with legacy configurations or those lacking robust security monitoring are also at increased risk.
• linux / server: Monitor access logs for requests to /api/download-project containing suspicious characters like ../ or absolute paths. Use grep to search for these patterns.
grep 'project_name=.*\.\.' /var/log/nginx/access.log• generic web: Use curl to test the endpoint with various payloads containing path traversal sequences.
curl 'http://your-devika-server/api/download-project?project_name=../../../../etc/passwd'• generic web: Examine response headers for unexpected content types or file extensions that indicate unauthorized file access.
• linux / server: Use auditd to monitor access to sensitive files and directories. Create an audit rule to log attempts to access files outside the intended directory.
auditctl -w / -p wa -k devika_traversaldisclosure
Status do Exploit
EPSS
0.89% (percentil 75%)
CISA SSVC
Vetor CVSS
Como não há versão corrigida disponível no momento, a mitigação imediata deve focar em restringir o acesso ao endpoint /api/download-project. Implemente uma validação rigorosa da entrada 'project_name', garantindo que apenas caracteres alfanuméricos e sublinhados sejam permitidos e que o caminho resultante esteja dentro de um diretório específico e seguro. Considere a utilização de um Web Application Firewall (WAF) para bloquear requisições maliciosas. Monitore os logs de acesso e erro em busca de tentativas de acesso não autorizado.
Actualice a la última versión de devika. El commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 contiene la solución a la vulnerabilidad. Asegúrese de validar y sanitizar correctamente la entrada 'project_name' para evitar el recorrido de directorios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-5548 is a directory traversal vulnerability in the stitionai/devika repository, allowing attackers to download arbitrary files by manipulating the project_name parameter. It has a CVSS score of 7.5 (HIGH).
All versions of the stitionai/devika repository are affected by this vulnerability due to insufficient input validation. If you are using Devika, you are potentially at risk.
Currently, no official fix is available. Mitigate by implementing WAF rules, restricting access to the /api/download-project endpoint, and enforcing strict access controls on the file system.
As of now, there is no confirmed evidence of active exploitation campaigns targeting CVE-2024-5548, but the high CVSS score suggests a potential risk.
Refer to the stitionai/devika repository for updates and advisories related to CVE-2024-5548. Check their GitHub repository for announcements.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.