HIGHCVE-2024-6851CVSS 7.5

Aim 路径遍历漏洞

平台

python

组件

aim

修复版本

3.22.1

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-6851 是 aimhubio/aim 项目中发现的一个路径遍历漏洞。该漏洞源于 LocalFileManager._cleanup 函数对用户提供的文件删除 glob 模式的验证不足，允许攻击者删除非预期文件。受影响的版本包括 aimhubio/aim 3.22.0 及更早版本。建议尽快升级到修复版本或实施缓解措施。

影响与攻击场景

该路径遍历漏洞允许攻击者通过构造恶意的 glob 模式，删除 aimhubio/aim 跟踪服务器管理目录之外的任意文件。攻击者可以利用此漏洞删除关键配置文件、日志文件，甚至影响整个系统。如果攻击者能够访问服务器文件系统，潜在的损害范围可能非常广泛，可能导致数据泄露、服务中断，甚至系统完全不可用。该漏洞的严重性在于其易于利用，且可能导致严重后果。

利用背景

目前，该漏洞尚未被广泛利用，但由于其易于利用，存在被攻击者的利用的可能性。该漏洞已于 2025 年 3 月 20 日公开披露。建议密切关注安全社区的动态，并及时采取措施。

哪些人处于风险中翻译中…

Organizations and individuals utilizing aimhubio/aim versions 3.22.0 and earlier, particularly those running the tracking server in environments with limited access controls or where the file cleanup functionality is enabled without proper validation, are at significant risk. Shared hosting environments where multiple users have access to the aimhubio/aim installation are also particularly vulnerable.

检测步骤翻译中…

• python / server:

import os
import glob

def check_file_deletion(directory, pattern):
    try:
        files = glob.glob(os.path.join(directory, pattern))
        for file in files:
            if not file.startswith(directory):
                print(f"Potential Path Traversal: File {file} outside of directory {directory}")
    except Exception as e:
        print(f"Error during glob check: {e}")

# Example usage (replace with actual directory and pattern)
directory = '/path/to/aimhubio/aim/data' # Replace with the actual data directory
patter = '*/temp/*' # Replace with the pattern being used
check_file_deletion(directory, pattern)

攻击时间线

2025-03-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.38% (60% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件aim

供应商osv

影响范围修复版本

unspecified – latest—

3.22.03.22.1

弱点分类 (CWE)

CWE-22

时间线

已保留2024-07-17
发布日期2025-03-20
修改日期2025-03-21
EPSS 更新日期2026-04-02

未修复 — 披露已430天

缓解措施和替代方案

为了缓解 CVE-2024-6851 的影响，建议立即升级到修复版本。如果无法立即升级，可以考虑以下临时缓解措施：严格限制 LocalFileManager 的访问权限，确保其只能访问预期的文件目录；实施文件访问控制列表 (ACL)，限制用户对敏感文件的访问；监控文件系统活动，检测任何异常的文件删除操作。升级后，请验证文件删除功能是否正常工作，并确认没有意外的文件被删除。

修复方法翻译中…

Actualice la biblioteca aimhubio/aim a una versión posterior a la 3.22.0 que corrija la vulnerabilidad. Esto evitará la eliminación arbitraria de archivos debido a un patrón glob malicioso. Consulte las notas de la versión para obtener más detalles sobre la corrección.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-6851 — 路径遍历漏洞在 aimhubio/aim 中?

CVE-2024-6851 是 aimhubio/aim 项目中发现的一个路径遍历漏洞，允许攻击者通过构造恶意的 glob 模式删除任意文件。受影响的版本包括 aimhubio/aim 3.22.0 及更早版本。

我是否受到 CVE-2024-6851 在 aimhubio/aim 中影响?

如果您正在使用 aimhubio/aim 3.22.0 或更早版本，则您可能受到此漏洞的影响。请立即升级到修复版本。

我如何修复 CVE-2024-6851 在 aimhubio/aim 中?

建议立即升级到修复版本。如果无法立即升级，可以考虑实施临时缓解措施，例如限制文件访问权限和监控文件系统活动。

CVE-2024-6851 是否正在被积极利用?

目前，该漏洞尚未被广泛利用，但由于其易于利用，存在被攻击者的利用的可能性。

在哪里可以找到 aimhubio/aim 的官方安全公告，关于 CVE-2024-6851?

请访问 aimhubio/aim 的官方 GitHub 仓库或官方网站，查找有关 CVE-2024-6851 的安全公告。