CVE-2024-6433 是 devika 应用程序中发现的任意文件读取漏洞。该漏洞允许攻击者通过提供精心构造的 snapshot_path 参数,读取系统上的任意文件,从而可能导致敏感信息泄露。目前所有版本均受影响,官方尚未发布修复补丁,建议采取临时缓解措施。
攻击者利用此漏洞可以读取系统上的任何文件,包括配置文件、源代码、数据库凭据和其他敏感数据。这可能导致严重的隐私泄露、数据泄露和潜在的系统入侵。攻击者可以利用读取到的信息进一步提升权限,或进行横向移动攻击,影响整个网络的安全。由于该漏洞允许读取任意文件,因此其影响范围可能非常广泛,取决于系统上存储的数据类型和敏感程度。
该漏洞已公开披露,存在潜在的被利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 尚未发现,但漏洞描述表明攻击者可以通过简单的参数篡改进行利用。
Organizations deploying devika in environments where user input directly influences file access are at risk. This includes deployments with weak input validation or where the application's user account has excessive permissions. Shared hosting environments where multiple users share the same devika instance are also particularly vulnerable.
• python / server:
grep -r 'snapshot_path=' /path/to/devika/source_code• generic web:
curl -I 'http://your-devika-instance/zip?snapshot_path=../../../../etc/passwd' # Check for 200 OK responsedisclosure
漏洞利用状态
EPSS
0.41% (61% 百分位)
CISA SSVC
CVSS 向量
由于官方尚未发布修复补丁,建议采取以下缓解措施:首先,限制应用程序对文件系统的访问权限,只允许访问必要的文件和目录。其次,对 snapshot_path 参数进行严格的输入验证,防止攻击者注入恶意路径。可以使用白名单机制,只允许访问预定义的路径。此外,可以考虑使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意请求。最后,密切监控应用程序的日志,及时发现和响应潜在的攻击行为。
Actualice la biblioteca stitionai/devika a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Asegúrese de validar y sanitizar correctamente las rutas proporcionadas por el usuario antes de utilizarlas para crear archivos ZIP. Evite permitir que los usuarios especifiquen rutas arbitrarias en el sistema de archivos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-6433 是 devika 应用程序中发现的任意文件读取漏洞,允许攻击者通过构造恶意参数读取系统上的任意文件。
所有 devika 应用程序版本均受此漏洞影响,直到发布官方补丁。
目前尚未发布官方补丁。建议采取缓解措施,例如限制文件系统访问权限和对输入进行验证。
虽然尚未观察到大规模利用,但由于漏洞的易利用性,存在潜在的被利用风险。
请查阅 devika 官方网站或安全公告页面,以获取有关 CVE-2024-6433 的最新信息。
上传你的 requirements.txt 文件,立即知道是否受影响。