CVE-2019-5417是serve软件包中的一个目录遍历漏洞。该漏洞允许未经授权的用户访问系统上的敏感文件,可能导致信息泄露或系统被完全控制。受影响的版本是7.1.3之前的serve版本。此漏洞已在7.1.3版本中修复。
CVE-2019-5417 在 serve 中允许攻击者执行目录遍历攻击。这是由于文件路径验证不足造成的,允许攻击者访问底层操作系统上的敏感文件和目录。攻击者可能潜在地读取配置文件、源代码或其他不应从外部访问的机密数据。此漏洞的严重程度在 CVSS 规模上评为 7.5,表明存在重大风险。由于缺乏文件路径的清理,系统面临着巨大的安全风险,尤其是在 serve 用于从不受控制的位置提供 Web 内容的环境中。
此漏洞是通过操纵提供给 serve 工具的文件路径来利用的。攻击者可以使用诸如 ../ 之类的序列来导航到预期根目录之外并访问位于未经授权位置的文件。利用相对简单,不需要高级技术技能。在 serve 用于从攻击者可以控制的目录提供内容的环境中,风险更高,因为这使他们能够注入恶意路径。此漏洞影响 serve 的所有版本,低于 7.1.3。
漏洞利用状态
EPSS
0.61% (70% 百分位)
CVSS 向量
减轻 CVE-2019-5417 的建议解决方案是将 serve 的版本升级到 7.1.3 或更高版本。这些版本包含修复程序,可验证和清理文件路径,从而防止未经授权的访问。如果无法立即升级,建议在文件系统上实施严格的访问控制,以限制对敏感目录的访问。此外,应审查和审核 serve 的配置,以确保仅提供预期的文件和目录。升级是最有效的措施,强烈建议用于防止此漏洞。
Actualice el paquete 'serve' a la versión 7.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios en el servidor remoto. Ejecute 'npm install serve@latest' para obtener la versión más reciente.
漏洞分析和关键警报直接发送到您的邮箱。
这是一种安全攻击,允许攻击者访问 Web 服务器上他们不应该能够访问的文件和目录。这通过操纵文件路径来实现。
您可以通过在终端中运行 serve --version 命令来检查 serve 的版本。
在文件系统上实施严格的访问控制并审查 serve 的配置。
是的,7.1.3 之前的版本都容易受到攻击。
您可以在 Common Vulnerabilities and Exposures (CVE) 漏洞数据库中 CVE-2019-5417 条目中找到更多信息。