Vulnerabilidad en Litestar y Starlite (CVE-2024-32982)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
06/05/2024
Última modificación:
15/04/2026
Descripción
Litestar y Starlite es un framework de interfaz de puerta de enlace de servidor asíncrono (ASGI). Antes de las versiones 2.8.3, 2.7.2 y 2.6.4, se descubrió una vulnerabilidad de inclusión de archivos locales (LFI) en el componente de servicio de archivos estáticos de LiteStar. Esta vulnerabilidad permite a los atacantes explotar fallas de path traversal, permitiendo el acceso no autorizado a archivos confidenciales fuera de los directorios designados. Dicho acceso puede dar lugar a la divulgación de información confidencial o potencialmente comprometer el servidor. La vulnerabilidad se encuentra en el mecanismo de manejo de rutas de archivos dentro de la función de servicio de contenido estático, específicamente en `litestar/static_files/base.py`. Esta vulnerabilidad se solucionó en las versiones 2.8.3, 2.7.2 y 2.6.4.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/litestar-org/litestar/blob/main/litestar/static_files/base.py#L70
- https://github.com/litestar-org/litestar/commit/57e706e7effdc182fc9a2af5981bc88afb21851b
- https://github.com/litestar-org/litestar/security/advisories/GHSA-83pv-qr33-2vcf
- https://github.com/litestar-org/litestar/blob/main/litestar/static_files/base.py#L70
- https://github.com/litestar-org/litestar/commit/57e706e7effdc182fc9a2af5981bc88afb21851b
- https://github.com/litestar-org/litestar/security/advisories/GHSA-83pv-qr33-2vcf