平台
python
组件
securedrop-client
修复版本
0.14.2
CVE-2025-24888 是 SecureDrop Client 中的路径遍历漏洞。该漏洞允许恶意 SecureDrop 服务器在 SecureDrop Client 虚拟机 (sd-app) 上执行代码。此漏洞影响 SecureDrop Client 版本小于或等于 0.14.1 的用户。建议立即升级至 0.14.1 版本以消除风险。
该漏洞的潜在影响非常严重,攻击者可以利用此漏洞在 SecureDrop Client 虚拟机上执行任意代码。这意味着攻击者可能能够窃取敏感数据,例如记者与消息来源的通信内容和提交的材料。由于 SecureDrop 用于处理高度敏感的信息,因此此漏洞可能对新闻自由和信息安全构成重大威胁。攻击者可以通过控制 SecureDrop 服务器来触发此漏洞,从而获得对客户端虚拟机的完全控制权。这类似于其他路径遍历漏洞的利用方式,攻击者可以利用它来访问未授权的文件和目录。
该漏洞已于 2025 年 2 月 13 日公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性和潜在影响,建议将其视为高风险。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
News organizations and journalists who rely on SecureDrop for secure communication with sources are at significant risk. Specifically, those using older versions of the SecureDrop Client (≤ 0.14.1) and those with configurations where the SecureDrop Server is not adequately secured are particularly vulnerable.
• linux / server: Monitor SecureDrop Server logs for unusual file access attempts or connections to the SecureDrop Client. Use journalctl -f to monitor for suspicious activity.
journalctl -f | grep "sd-app" • python: Examine SecureDrop Client application logs for any errors related to file path manipulation or access. • generic web: If the SecureDrop Server exposes any web interfaces, check for unusual file requests or directory traversal attempts in access logs.
disclosure
漏洞利用状态
EPSS
3.07% (87% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 SecureDrop Client 升级至 0.14.1 版本或更高版本。如果升级不可行,可以考虑以下临时缓解措施:限制 SecureDrop 服务器的访问权限,确保其只能访问必要的资源;实施严格的网络安全策略,以防止未经授权的访问;监控 SecureDrop 服务器和客户端虚拟机的活动,以检测任何可疑行为。升级后,请验证客户端虚拟机是否已正确更新,并检查日志文件是否存在任何异常活动。
Actualice SecureDrop Client a la versión 0.14.1 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de SecureDrop.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-24888 是 SecureDrop Client 中发现的路径遍历漏洞,允许恶意服务器在客户端虚拟机上执行代码。影响 SecureDrop Client 版本小于或等于 0.14.1。
如果您正在使用 SecureDrop Client 版本小于或等于 0.14.1,则您可能受到此漏洞的影响。请立即升级至最新版本。
最有效的修复方法是升级 SecureDrop Client 至 0.14.1 或更高版本。
目前尚无公开的利用程序,但由于漏洞的严重性,建议将其视为高风险。
请访问 SecureDrop 官方网站或安全公告页面,以获取有关此漏洞的最新信息和修复指南。
上传你的 requirements.txt 文件,立即知道是否受影响。