平台
other
组件
anka-build
修复版本
1.42.1
CVE-2024-41922 是 Veertu Anka Build 1.42.0 版本中发现的一个目录遍历漏洞。该漏洞允许未经身份验证的攻击者通过构造恶意的 HTTP 请求,访问并泄露敏感信息。受影响的版本包括 1.42.0,已于 1.42.1 版本修复,建议用户尽快升级。
该漏洞的影响在于攻击者可以未经身份验证地访问 Veertu Anka Build 服务器上的敏感日志文件。这些日志文件可能包含配置信息、用户凭据、构建过程中的敏感数据,甚至可能泄露源代码片段。攻击者可以利用这些信息进行进一步的攻击,例如横向移动到其他系统,或者窃取关键数据。虽然该漏洞不需要身份验证,但攻击者需要能够发送 HTTP 请求到目标服务器,这使得攻击相对容易实施。由于 Anka Build 通常用于构建和部署虚拟机,因此该漏洞可能导致虚拟机环境的安全风险。
该漏洞已于 2024 年 10 月 3 日公开披露。目前尚未观察到大规模的利用活动,但由于该漏洞不需要身份验证且易于利用,存在被恶意利用的风险。该漏洞尚未被添加到 CISA KEV 目录,但建议密切关注相关安全动态。公开可用的 PoC 尚未发现,但漏洞的描述表明攻击者可以通过简单的 HTTP 请求触发该漏洞。
Organizations utilizing Veertu Anka Build version 1.42.0, particularly those with publicly accessible log file download endpoints, are at risk. Shared hosting environments where multiple users share the same Anka Build instance are also potentially vulnerable.
disclosure
漏洞利用状态
EPSS
5.24% (90% 百分位)
CVSS 向量
最有效的缓解措施是升级到 Veertu Anka Build 1.42.1 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制对日志文件下载功能的访问,仅允许授权用户访问;实施严格的网络访问控制,阻止未经授权的 HTTP 请求到达目标服务器;监控日志文件下载功能的访问情况,及时发现异常活动。由于该漏洞是目录遍历漏洞,可以考虑在 Web 服务器层面配置访问控制规则,阻止对目录结构的非法访问尝试。
Actualice a una versión parcheada de Veertu Anka Build que solucione la vulnerabilidad de path traversal. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las actualizaciones de seguridad tan pronto como estén disponibles.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-41922 是 Veertu Anka Build 1.42.0 版本中发现的一个目录遍历漏洞,允许攻击者通过构造恶意的 HTTP 请求泄露敏感信息。
如果您正在使用 Veertu Anka Build 1.42.0 版本,则可能受到影响。请尽快升级到 1.42.1 或更高版本。
最有效的修复方法是升级到 Veertu Anka Build 1.42.1 或更高版本。
目前尚未观察到大规模的利用活动,但由于该漏洞易于利用,存在被恶意利用的风险。
请访问 Veertu 官方网站或安全公告页面,查找有关 CVE-2024-41922 的详细信息。