CVE-2024-49770 是 @oakserver/oak 中的路径遍历漏洞。该漏洞允许攻击者绕过默认的隐藏文件访问限制,从而可能泄露敏感信息。该漏洞影响 @oakserver/oak 版本小于或等于 14.1.0 的用户。已发布修复版本 17.1.3。
攻击者可以利用此漏洞访问未经授权的隐藏文件,这些文件通常包含敏感配置信息、密钥或其他机密数据。通过 URL 编码 / 字符,攻击者可以绕过 Oak 默认的隐藏文件处理机制。例如,如果 Oak 应用程序存储了包含敏感信息的配置文件,攻击者可以通过构造恶意的 URL 请求来访问该文件。这种攻击可能导致数据泄露、身份盗窃或进一步的系统入侵。虽然该漏洞本身可能不会导致远程代码执行,但泄露的敏感信息可能被用于其他攻击。
该漏洞已公开披露,且存在利用的可能性。目前没有已知的公开利用程序 (PoC),但由于漏洞的性质和易于利用,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录,但应密切关注其状态。建议组织评估其风险并采取适当的缓解措施。
Applications and services built using @oakserver/oak versions prior to 17.1.3 are at risk. This includes web applications, APIs, and other backend systems that rely on @oakserver/oak for routing and file handling. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially expose files from others.
• nodejs / server:
npm list @oakserver/oak• nodejs / server:
find / -name "node_modules/@oakserver/oak/send.ts" -print• nodejs / server:
grep -r '%2F' /path/to/oak/project/disclosure
漏洞利用状态
EPSS
0.14% (34% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 @oakserver/oak 17.1.3 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,审查应用程序代码,确保没有不必要的隐藏文件被暴露。其次,实施严格的访问控制策略,限制对敏感文件的访问。第三,使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意请求,阻止包含 URL 编码 / 字符的请求。最后,监控应用程序日志,检测异常的文件访问行为。
Actualice la dependencia `oak` a la versión 17.1.3 o superior. Esto corregirá la vulnerabilidad de path traversal que permite el acceso a archivos ocultos. Ejecute `npm update oak` o `yarn upgrade oak` para actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-49770 是 @oakserver/oak 框架中的一个路径遍历漏洞,允许攻击者绕过隐藏文件访问限制,可能导致敏感文件泄露。
如果您正在使用 @oakserver/oak 版本小于或等于 14.1.0,则可能受到此漏洞的影响。
升级到 @oakserver/oak 17.1.3 或更高版本可以修复此漏洞。
目前没有已知的公开利用程序,但由于漏洞的性质,预计未来可能会出现。
请访问 @oakserver/oak 的官方 GitHub 仓库或相关安全公告页面以获取更多信息。