免费扫描
HIGHCVE-2019-5415CVSS 7.5

CVE-2019-5415:serve 7.0.1之前版本存在路径遍历漏洞

平台

nodejs

组件

serve

修复版本

7.0.1

7.0.0

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年3月
在NVD查看
保存

CVE-2019-5415是serve组件中存在的路径遍历漏洞。该漏洞允许攻击者通过构造包含/./的路径来访问原本应被忽略的隐藏文件夹和文件,从而导致敏感信息泄露。受影响的版本是7.0.1之前的serve版本。此漏洞已在7.0.0版本中修复,建议用户升级。

影响与攻击场景

CVE-2019-5415 在 serve 中允许攻击者通过路径操作访问隐藏或未授权的文件和目录。7.0.1 之前的 serve 版本容易受到此路径遍历问题的影响。具体来说,在请求的路径中使用 /./ 序列可以绕过定义的文件夹排除规则,从而允许访问通常应受保护的敏感内容。这可能包括配置文件、源代码或机密数据,从而损害使用 serve 的应用程序或服务器的安全性。CVSS 严重性评分为 7.5,表明存在高风险。

利用背景

攻击者可以通过发送包含带有 /./ 的操作路径的恶意请求到 serve 来利用此漏洞。例如,尝试访问排除文件夹中的文件,通过在路径中包含 /./ 可能会成功。这在开发或测试环境中尤其令人担忧,因为敏感文件可能会被暴露。易于利用以及对数据机密性的潜在影响使此漏洞成为一个重大的问题。

哪些人处于风险中翻译中…

Development teams using serve to serve static files during development are particularly at risk. Shared hosting environments where users have limited control over their server configuration are also vulnerable if the serve package is installed and not properly updated. Projects relying on older versions of serve in automated build pipelines are also exposed.

检测步骤翻译中…

• nodejs / server:

  npm list serve

Check the version of serve installed in your project. If it's less than 7.0.1, you are vulnerable. • generic web: curl -I <yourserveurl>/../../../../etc/passwd Attempt to access sensitive files using path traversal. A successful response indicates a vulnerability.

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
NextGuard10–15% 仍然脆弱

EPSS

0.32% (55% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
无 — 无完整性影响。
Availability
无 — 无可用性影响。

受影响的软件

组件serve
供应商osv
影响范围修复版本
7.0.0 – 7.0.07.0.1
7.0.0

弱点分类 (CWE)

CWE-548

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

减轻此漏洞的建议解决方案是升级到 serve 的 7.0.1 或更高版本。此版本通过正确处理包含 /./ 序列的路径来修复路径遍历问题。在升级之前,请务必备份当前的配置。此外,请审查应用程序的安全策略,以确保已采取额外的保护措施以防止对文件和目录的未经授权的访问。升级是保护自己免受此漏洞影响并维护数据完整性的最有效方法。

修复方法翻译中…

Actualice la versión de `serve` a la versión 7.0.1 o superior. Esto corregirá la vulnerabilidad en el manejo de archivos y directorios ignorados, impidiendo que un atacante acceda a recursos no permitidos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2019-5415 是什么 — serve 中的 Path Traversal?

路径遍历是一种漏洞,它允许攻击者访问应用程序预期根目录之外的文件和目录。

serve 中的 CVE-2019-5415 是否会影响我?

如果您使用的是 serve 的易受攻击版本,攻击者可能会访问敏感文件,从而损害您的应用程序的安全性。

如何修复 serve 中的 CVE-2019-5415?

如果您无法立即升级,请考虑实施额外的安全措施,例如限制服务器访问并监控可疑活动。

CVE-2019-5415 是否正在被积极利用?

您可以在 NIST 漏洞数据库中找到有关此漏洞的更多信息:https://nvd.nist.gov/vuln/detail/CVE-2019-5415

在哪里可以找到 serve 关于 CVE-2019-5415 的官方安全通告?

有一些安全分析工具可以检测此漏洞。请咨询您的安全团队以获取建议。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE