CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.3 | $0-$5k | 0.00 |
In Vite - eine genaue Versionsangabe ist nicht möglich - wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Hierbei betrifft es unbekannter Programmcode der Komponente File System Handler. CWE definiert das Problem als CWE-178. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:
Vite is a frontend tooling framework for javascript. The Vite dev server option `server.fs.deny` can be bypassed on case-insensitive file systems using case-augmented versions of filenames. Notably this affects servers hosted on Windows. This bypass is similar to CVE-2023-34092 -- with surface area reduced to hosts having case-insensitive filesystems. Since `picomatch` defaults to case-sensitive glob matching, but the file server doesn't discriminate; a blacklist bypass is possible. By requesting raw filesystem paths using augmented casing, the matcher derived from `config.server.fs.deny` fails to block access to sensitive files. This issue has been addressed in vite@5.0.12, vite@4.5.2, vite@3.2.8, and vite@2.9.17. Users are advised to upgrade. Users unable to upgrade should restrict access to dev servers.
Die Schwachstelle wurde am 19.01.2024 als GHSA-c24v-8rfc-w8vw an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 15.01.2024 mit CVE-2024-23331 vorgenommen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 91641c4da0a011d4c5352e88fc68389d4e1289a5 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Von weiterem Interesse können die folgenden Einträge sein: VDB-232519, VDB-233956, VDB-235553 und VDB-235670.
Produkt
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.3
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 7.5
CNA Vector (GitHub, Inc.): 🔒
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-178 / CWE-697
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Patch: 91641c4da0a011d4c5352e88fc68389d4e1289a5
Timeline
15.01.2024 CVE zugewiesen19.01.2024 Advisory veröffentlicht
19.01.2024 VulDB Eintrag erstellt
19.01.2024 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: GHSA-c24v-8rfc-w8vwStatus: Bestätigt
CVE: CVE-2024-23331 (🔒)
Siehe auch: 🔒
Eintrag
Erstellt: 19.01.2024 22:06Anpassungen: 19.01.2024 22:06 (49)
Komplett: 🔍
Cache ID: 3:E13:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.