CVE-2024-5547 是 stitionai/devika 仓库中的一个目录遍历漏洞,影响其最新版本。该漏洞源于 /api/download-project-pdf 端点中 'project_name' 参数的验证不足。攻击者可以通过操纵该参数来访问系统上的任意 PDF 文件,可能导致敏感信息泄露。目前尚未发布修复版本,建议采取缓解措施。
攻击者可以利用此漏洞遍历 devika 服务器的文件系统,下载任意 PDF 文件。这可能导致敏感信息泄露,例如包含商业机密、个人数据或内部文档的 PDF 文件。攻击者可能进一步利用这些信息进行勒索、身份盗窃或其他恶意活动。由于该漏洞允许攻击者访问文件系统,因此存在潜在的横向移动风险,攻击者可能利用此漏洞访问其他系统或服务。该漏洞的潜在影响范围取决于服务器上存储的 PDF 文件的敏感程度。
该漏洞已公开披露,存在被利用的风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 POC 可能存在,建议密切关注安全社区的动态。
Organizations utilizing the stitionai/devika project, particularly those deploying it in production environments without proper security hardening, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as an attacker could potentially access PDF files belonging to other users.
• linux / server:
journalctl -u devika -f | grep "download_project_pdf"• generic web:
curl -I 'http://your-devika-server/api/download-project-pdf?project_name=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200 OKdisclosure
漏洞利用状态
EPSS
1.26% (79% 百分位)
CISA SSVC
CVSS 向量
由于尚未发布修复版本,建议采取以下缓解措施:首先,限制对 /api/download-project-pdf 端点的访问,只允许授权用户访问。其次,实施严格的文件访问控制,确保用户只能访问其授权访问的 PDF 文件。第三,对 'project_name' 参数进行严格的输入验证,防止攻击者使用目录遍历字符(例如 ../)来访问其他文件。可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。最后,定期监控系统日志,查找可疑活动。
Actualice la biblioteca devika a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro 'project_name', para evitar el acceso no autorizado a archivos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-5547 是 stitionai/devika 仓库中发现的目录遍历漏洞,攻击者可以通过操纵 'project_name' 参数访问任意 PDF 文件。
如果您正在使用 stitionai/devika 的最新版本,并且未采取适当的安全措施,则可能受到影响。
目前尚未发布修复版本。建议采取缓解措施,例如限制访问、严格的文件访问控制和输入验证。
虽然尚未观察到大规模利用,但由于漏洞的易利用性,存在被利用的风险。
请访问 stitionai/devika 的官方仓库或相关安全公告网站,查找有关 CVE-2024-5547 的信息。
上传你的 requirements.txt 文件,立即知道是否受影响。