CVE-2024-5548

Repositório institutionai/devika (versões afetadas não especificadas)

Existe uma vulnerabilidade de traversal de diretório, especificamente no endpoint “/api/download-project”. Os invasores podem explorar essa vulnerabilidade manipulando o parâmetro project name em uma solicitação GET para baixar arquivos arbitrários do sistema. A vulnerabilidade surge devido à validação insuficiente de entradas na função download project, permitindo que invasores percorram a estrutura de diretórios e acessem arquivos fora do diretório pretendido. Isso pode levar ao acesso não autorizado a arquivos confidenciais no servidor.

Como solução temporária, considere desativar a função download project até que uma correção esteja disponível. Restrinja o acesso ao endpoint “/api/download-project” para minimizar o risco de exploração. Evite usar o parâmetro project name no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.