Plataforma
python
Componente
devika
Corrigido em
-
A vulnerabilidade CVE-2024-6433 em Devika permite a leitura de arquivos arbitrários no sistema. Um atacante pode explorar essa falha fornecendo um caminho malicioso no parâmetro snapshot_path, resultando na exposição de dados confidenciais. A vulnerabilidade afeta versões não especificadas do Devika e a correção ainda não foi divulgada.
Esta vulnerabilidade representa um risco significativo, pois permite a um atacante ler qualquer arquivo acessível ao processo Devika. Isso pode incluir arquivos de configuração contendo senhas, chaves de API, dados de usuários e outros segredos. O impacto potencial é a exposição de informações confidenciais, comprometimento da integridade do sistema e possível acesso não autorizado a outros recursos. A exploração bem-sucedida pode levar a um comprometimento completo do sistema, dependendo dos privilégios do processo Devika e dos arquivos acessíveis.
A vulnerabilidade foi divulgada em 2024-07-10. Não há informações disponíveis sobre a adição à KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, dada a facilidade de exploração e a falta de mitigação imediata. É crucial monitorar a situação e implementar as medidas de mitigação recomendadas.
Organizations deploying devika in environments where user input directly influences file access are at risk. This includes deployments with weak input validation or where the application's user account has excessive permissions. Shared hosting environments where multiple users share the same devika instance are also particularly vulnerable.
• python / server:
grep -r 'snapshot_path=' /path/to/devika/source_code• generic web:
curl -I 'http://your-devika-instance/zip?snapshot_path=../../../../etc/passwd' # Check for 200 OK responsedisclosure
Status do Exploit
EPSS
0.41% (percentil 61%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi divulgada, a mitigação imediata deve se concentrar em restringir o acesso ao processo Devika e validar rigorosamente a entrada do usuário. Implemente controles de acesso baseados em papéis para limitar o acesso a arquivos sensíveis. Valide e sanitize o parâmetro snapshot_path para garantir que ele aponte apenas para o diretório esperado. Considere o uso de um Web Application Firewall (WAF) para bloquear solicitações maliciosas. Monitore logs de acesso e auditoria em busca de atividades suspeitas.
Actualice la biblioteca stitionai/devika a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Asegúrese de validar y sanitizar correctamente las rutas proporcionadas por el usuario antes de utilizarlas para crear archivos ZIP. Evite permitir que los usuarios especifiquen rutas arbitrarias en el sistema de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-6433 is a vulnerability in devika that allows an attacker to read arbitrary files by manipulating the snapshot_path parameter. It is rated as HIGH severity with a CVSS score of 7.5.
You are affected if you are using devika prior to a patch release. The vulnerability impacts versions before a fix is available.
Currently, there is no fixed version available. Mitigation involves strict input validation on the snapshot_path parameter and restricting the application's user account permissions.
There are currently no known public exploits or confirmed active exploitation campaigns for CVE-2024-6433.
Refer to the devika project's official website or GitHub repository for updates and advisories related to CVE-2024-6433.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.