CVE-2024-32982

Versões do Litestar anteriores à 2.8.3

Versões do Litestar anteriores à 2.7.2

Versões do Litestar anteriores à 2.6.4

Foi descoberta uma vulnerabilidade de Inclusão de Arquivo Local (LFI) no componente de serviço de arquivos estáticos do Litestar, permitindo que invasores explorem falhas de traversal de caminho e obtenham acesso não autorizado a arquivos confidenciais fora dos diretórios designados. Essa vulnerabilidade está localizada no mecanismo de tratamento de caminho de arquivo dentro da função de serviço de conteúdo estático, especificamente em litestar/static files/base.py. A vulnerabilidade permite que invasores acessem informações confidenciais, comprometam potencialmente o servidor e pode levar à exposição de informações confidenciais ou a novos ataques.

Para versões anteriores à 2.8.3, atualize para a versão 2.8.3 ou posterior.

Para versões anteriores à 2.7.2, atualize para a versão 2.7.2 ou posterior.

Para versões anteriores à 2.6.4, atualize para a versão 2.6.4 ou posterior.

Como solução temporária, considere implementar mecanismos rigorosos de validação e sanitização de entradas para caminhos de arquivos e normalizar os caminhos de arquivos antes de usá-los em operações de arquivo para evitar traversal de diretório.