HIGHCVE-2024-5548CVSS 7.5

stitionai/devika 中的目录遍历漏洞

平台

python

组件

devika

修复版本

AI Confidence: highNVDEPSS 0.9%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-5548 是 stitionai/devika 仓库中的一个目录遍历漏洞，位于 /api/download-project 接口。攻击者可以通过精心构造的 GET 请求，利用 'projectname' 参数来访问系统中的任意文件。该漏洞影响 devika 的最新版本，由于 'downloadproject' 函数中的输入验证不足，导致攻击者可以遍历目录结构，访问非预期目录下的文件。

影响与攻击场景

该目录遍历漏洞允许攻击者绕过访问控制，读取服务器上的任意文件。攻击者可以利用此漏洞获取敏感信息，例如配置文件、数据库凭证、源代码或其他机密数据。攻击者可能通过该漏洞获取系统内部信息，进行进一步的攻击，例如横向移动到其他系统或执行恶意代码。由于该漏洞影响文件下载功能，攻击者可能能够下载包含恶意代码的文件，并在受害者设备上执行。

利用背景

该漏洞已公开披露，存在被利用的风险。目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，建议尽快采取缓解措施。该漏洞的公开信息表明，攻击者可以通过简单的 GET 请求来利用该漏洞，无需复杂的配置或攻击技术。建议持续监控 devika 仓库和相关社区，以获取最新的安全信息和利用情况。

哪些人处于风险中翻译中…

Organizations deploying Devika in environments with inadequate input validation or access controls are at risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other users' data through this vulnerability. Systems with legacy configurations or those lacking robust security monitoring are also at increased risk.

检测步骤翻译中…

• linux / server: Monitor access logs for requests to /api/download-project containing suspicious characters like ../ or absolute paths. Use grep to search for these patterns.

grep 'project_name=.*\.\.' /var/log/nginx/access.log

• generic web: Use curl to test the endpoint with various payloads containing path traversal sequences.

curl 'http://your-devika-server/api/download-project?project_name=../../../../etc/passwd'

• generic web: Examine response headers for unexpected content types or file extensions that indicate unauthorized file access. • linux / server: Use auditd to monitor access to sensitive files and directories. Create an audit rule to log attempts to access files outside the intended directory.

auditctl -w / -p wa -k devika_traversal

攻击时间线

2024-06-27Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.89% (75% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件devika

供应商stitionai

影响范围修复版本

unspecified – --

弱点分类 (CWE)

CWE-22

时间线

已保留2024-05-30
发布日期2024-06-27
修改日期2024-08-01
EPSS 更新日期2026-04-02

缓解措施和替代方案

由于目前尚未发布官方补丁，缓解措施应侧重于限制攻击面和加强输入验证。首先，建议禁用或限制对 /api/download-project 接口的访问。其次，实施严格的输入验证，确保 'project_name' 参数只接受预期的值，并拒绝包含特殊字符或路径遍历序列的输入。可以使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求。此外，定期审查和更新 devika 仓库的代码，以识别和修复潜在的安全漏洞。

修复方法翻译中…

Actualice a la última versión de devika. El commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 contiene la solución a la vulnerabilidad. Asegúrese de validar y sanitizar correctamente la entrada 'project_name' para evitar el recorrido de directorios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-5548 — 目录遍历漏洞在 devika 中?

CVE-2024-5548 是 stitionai/devika 仓库中发现的目录遍历漏洞，攻击者可以通过操纵 'project_name' 参数下载任意文件。

我是否受到 CVE-2024-5548 在 devika 中影响?

如果您正在使用 devika 的最新版本，则可能受到影响。请尽快采取缓解措施。

我如何修复 CVE-2024-5548 在 devika 中?

目前尚未发布官方补丁。建议禁用接口、加强输入验证，并使用 WAF 进行过滤。

CVE-2024-5548 是否正在被积极利用?

虽然目前尚未观察到大规模利用，但由于漏洞的易利用性，存在被利用的风险。

在哪里可以找到 devika 官方关于 CVE-2024-5548 的公告?

请关注 stitionai/devika 仓库的官方公告和安全更新。