Katalog CVE

CVE-2024-5752

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W stitionai/devika występuje podatność na traversowanie ścieżek, szczególnie w funkcjonalności tworzenia projektów. W dotkniętej wersji beacf6edaa205a5a5370525407a6db45137873b3, nazwa projektu nie jest walidowana, co pozwala atakującemu na stworzenie projektu z odpowiednio skonstruowaną nazwą, która przemieszcza się po katalogach.

Ocena ryzyka

Może to prowadzić do nadpisania dowolnych plików, gdy aplikacja generuje kod i zapisuje go w określonym katalogu projektu, co potencjalnie skutkuje zdalnym wykonaniem kodu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji, w której wprowadzono walidację nazw projektów, aby zapobiec wykorzystaniu tej podatności.

Oryginalny opis (angielski, źródło NVD)

A path traversal vulnerability exists in stitionai/devika, specifically in the project creation functionality. In the affected version beacf6edaa205a5a5370525407a6db45137873b3, the project name is not validated, allowing an attacker to create a project with a crafted name that traverses directories. This can lead to arbitrary file overwrite when the application generates code and saves it to the specified project directory, potentially resulting in remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS