Plataforma
python
Componente
aim
Corrigido em
3.22.1
A vulnerabilidade CVE-2024-6851 é um Path Traversal identificado no aimhubio/aim, especificamente na função LocalFileManager._cleanup. Esta falha permite que um atacante, através de um glob-pattern malicioso, exclua arquivos arbitrários fora do diretório gerenciado pelo LocalFileManager. A vulnerabilidade afeta versões até 3.22.0 e a correção está pendente, exigindo medidas de mitigação imediatas.
Um atacante pode explorar esta vulnerabilidade para obter acesso não autorizado e excluir arquivos críticos no sistema onde o aimhubio/aim está instalado. A exclusão de arquivos de configuração, logs ou dados de aplicação pode levar à interrupção do serviço, perda de dados e comprometimento da integridade do sistema. A ausência de validação adequada do glob-pattern permite que o atacante ignore as restrições de diretório, ampliando o potencial de dano. A gravidade da vulnerabilidade é alta, considerando o potencial de impacto e a relativa facilidade de exploração.
A vulnerabilidade foi publicada em 2025-03-20. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não diminui a seriedade da vulnerabilidade, pois a exploração é conceitualmente simples.
Organizations and individuals utilizing aimhubio/aim versions 3.22.0 and earlier, particularly those running the tracking server in environments with limited access controls or where the file cleanup functionality is enabled without proper validation, are at significant risk. Shared hosting environments where multiple users have access to the aimhubio/aim installation are also particularly vulnerable.
• python / server:
import os
import glob
def check_file_deletion(directory, pattern):
try:
files = glob.glob(os.path.join(directory, pattern))
for file in files:
if not file.startswith(directory):
print(f"Potential Path Traversal: File {file} outside of directory {directory}")
except Exception as e:
print(f"Error during glob check: {e}")
# Example usage (replace with actual directory and pattern)
directory = '/path/to/aimhubio/aim/data' # Replace with the actual data directory
patter = '*/temp/*' # Replace with the pattern being used
check_file_deletion(directory, pattern)disclosure
Status do Exploit
EPSS
0.38% (percentil 60%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi lançada, a mitigação imediata envolve a restrição do acesso à função LocalFileManager._cleanup ou a implementação de validação rigorosa dos glob-patterns fornecidos pelo usuário. Considere desabilitar temporariamente a função se não for essencial. Implemente regras de firewall ou WAF para bloquear requisições suspeitas que tentem manipular o glob-pattern. Monitore os logs do sistema em busca de atividades anormais relacionadas à exclusão de arquivos. Após a disponibilização da versão corrigida, atualize o aimhubio/aim imediatamente.
Actualice la biblioteca aimhubio/aim a una versión posterior a la 3.22.0 que corrija la vulnerabilidad. Esto evitará la eliminación arbitraria de archivos debido a un patrón glob malicioso. Consulte las notas de la versión para obtener más detalles sobre la corrección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-6851 is a Path Traversal vulnerability in aimhubio/aim versions up to 3.22.0, allowing attackers to delete arbitrary files using a malicious glob-pattern.
You are affected if you are using aimhubio/aim version 3.22.0 or earlier. Upgrade to a patched version as soon as it becomes available.
Upgrade to a patched version of aimhubio/aim. Until then, restrict access to the file cleanup function and implement strict input validation on glob-patterns.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply mitigations proactively.
Refer to the aimhubio project's official website and GitHub repository for updates and security advisories regarding CVE-2024-6851.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.