CVE-2024-39903 描述了Solara Web Framework中存在的本地文件包含(LFI)漏洞。该漏洞允许攻击者通过操纵URI片段读取服务器上的任意文件,可能导致敏感信息泄露或进一步的攻击。受影响的版本包括Solara 1.35.1之前的版本,已在1.35.1版本中修复。
该LFI漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取服务器上的任何文件,包括配置文件、源代码、数据库凭据和其他敏感信息。这可能导致数据泄露、身份盗窃、系统入侵,甚至完全控制受影响的服务器。攻击者还可以利用读取到的文件来进一步探索系统,寻找其他漏洞并扩大攻击范围。由于Solara常用于部署Jupyter Notebook和Web应用,因此该漏洞可能影响大量用户和应用。
目前尚未公开详细的利用代码,但该漏洞的原理相对简单,预计很快会有公开的PoC出现。由于该漏洞的CVSS评分为高,且影响广泛,因此存在被恶意利用的风险。建议密切关注CISA和NVD的更新,以及安全社区的讨论。
Organizations deploying Solara for web applications, particularly those serving sensitive data or running in environments with limited security controls, are at risk. Shared hosting environments where users have the ability to influence URI parameters are also particularly vulnerable.
• python / server:
# Check for vulnerable Solara versions
python -c "import solara; print(solara.__version__)"• generic web:
# Check for URI fragment manipulation attempts in access logs
grep -i '..\/' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
46.55% (98% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将Solara升级至1.35.1或更高版本。如果无法立即升级,可以考虑使用Web应用防火墙(WAF)来过滤恶意URI请求,阻止攻击者利用目录遍历序列。此外,应审查Solara应用的配置,确保静态文件的访问权限受到限制,并禁用不必要的目录列表功能。监控Solara应用的日志,寻找异常的文件访问尝试。
Actualice la biblioteca Solara a la versión 1.35.1 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install solara --upgrade`.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-39903 是Solara Web Framework在版本小于等于1.35.1中发现的本地文件包含(LFI)漏洞,攻击者可以读取服务器上的任意文件。
如果您正在使用Solara版本小于1.35.1,则可能受到此漏洞的影响。请立即检查您的版本并升级。
将Solara升级至1.35.1或更高版本可以修复此漏洞。如果无法升级,请考虑使用WAF进行缓解。
目前尚未确认CVE-2024-39903 正在被积极利用,但由于漏洞的严重性和易利用性,存在被恶意利用的风险。
请访问Solara官方网站或GitHub仓库,查找关于CVE-2024-39903 的安全公告。
上传你的 requirements.txt 文件,立即知道是否受影响。