Plattform
python
Komponente
griptape-ai
Behoben in
0.19.5
CVE-2026-5597 represents a Path Traversal vulnerability discovered in griptape-ai version 0.19.4. This flaw resides within the ComputerTool component, specifically the file griptape\tools\computer\tool.py, and allows attackers to manipulate the 'filename' argument to access files outside the intended directory. The vulnerability is remotely exploitable, and an exploit has been publicly released, posing a significant risk. The vendor has not responded to early disclosure attempts.
Eine Pfadüberschreitungs-Schwachstelle (Path Traversal) wurde in griptape-ai griptape Version 0.19.4 entdeckt. Dieser Fehler betrifft einen unbekannten Teil der Datei griptape\tools\computer\tool.py innerhalb der Komponente ComputerTool. Ein Angreifer kann das Argument filename manipulieren, um auf Dateien und Verzeichnisse außerhalb des vorgesehenen Verzeichnisses zuzugreifen, was potenziell die Integrität des Systems gefährdet. Die Schwere der Schwachstelle wird mit CVSS 6.3 bewertet, was ein moderates Risiko anzeigt. Eine Fernausnutzung ist möglich, was die Angriffsfläche vergrößert. Die Veröffentlichung eines Exploits signalisiert, dass die Schwachstelle leicht ausnutzbar ist. Das Fehlen einer Reaktion des Anbieters auf frühzeitige Meldungen ist besorgniserregend.
Die Schwachstelle wird ausgenutzt, indem das Argument filename innerhalb des ComputerTool manipuliert wird. Ein Angreifer kann Sequenzen wie ../ verwenden, um außerhalb des vorgesehenen Verzeichnisses zu navigieren und auf beliebige Dateien im System zuzugreifen. Die Fernausnutzung bedeutet, dass ein Angreifer diese Schwachstelle von überall aus ausnutzen kann, wo er Zugriff auf die griptape-Anwendung hat. Die öffentliche Verfügbarkeit des Exploits erleichtert die Ausnutzung zusätzlich. Das Fehlen einer Reaktion des Anbieters verschärft die Situation und lässt die Benutzer ohne offizielle Lösung.
Organizations deploying griptape-ai in production environments, particularly those relying on the ComputerTool component for file processing, are at risk. Systems with weak input validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same griptape-ai instance should be considered high-priority targets.
• python / server:
import os
import sys
def check_filename(filename):
# Basic check - prevent '..' sequences
if '..' in filename:
return False
return True
# Example usage (replace with actual input source)
filename = sys.argv[1]
if not check_filename(filename):
print("Invalid filename detected")• linux / server:
# Monitor access logs for suspicious file access attempts
grep -i "../" /var/log/griptape-ai/access.logdisclosure
Exploit-Status
EPSS
0.02% (6% Perzentil)
CISA SSVC
CVSS-Vektor
Angesichts des fehlenden Fixes seitens des Anbieters konzentrieren sich die Maßnahmen zur Abschwächung auf präventive Maßnahmen. Es wird dringend davon abgeraten, griptape Version 0.19.4 zu verwenden. Wenn griptape verwendet werden muss, sollten Sie ein Upgrade auf eine spätere Version (falls verfügbar) in Betracht ziehen oder strenge Zugriffskontrollen implementieren, um den Zugriff auf sensible Dateien einzuschränken. Eine strenge Validierung der Benutzereingaben, insbesondere des Arguments filename, ist entscheidend, um Pfadüberschreitungsangriffe zu verhindern. Die Überwachung der Systemaktivität auf verdächtige Muster kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Die Implementierung einer Sicherheitsrichtlinie, die die Berechtigungen von Anwendungen einschränkt, ist eine empfohlene Vorgehensweise.
Actualice a una versión corregida de griptape-ai. La vulnerabilidad de path traversal en el archivo tool.py permite la ejecución remota de código. Verifique las fuentes oficiales de griptape-ai para obtener instrucciones de actualización.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Pfadüberschreitung ist eine Art von Schwachstelle, die es einem Angreifer ermöglicht, auf Dateien und Verzeichnisse außerhalb des vorgesehenen Verzeichnisses zuzugreifen, indem er Sequenzen wie ../ in Dateipfaden verwendet.
Das Fehlen einer Reaktion des Anbieters deutet auf ein mangelndes Engagement für die Sicherheit hin und lässt die Benutzer ohne offizielle Lösung oder Unterstützung zur Abschwächung der Schwachstelle zurück.
Wenn die Verwendung von Version 0.19.4 unbedingt erforderlich ist, implementieren Sie strenge Zugriffskontrollen, validieren Sie Benutzereingaben und überwachen Sie die Systemaktivität auf verdächtige Muster.
Abhängig von Ihren Anforderungen gibt es möglicherweise andere Tools oder Bibliotheken, die ähnliche Funktionen ohne die Pfadüberschreitungsschwachstelle bieten.
Validieren Sie immer Benutzereingaben, implementieren Sie strenge Zugriffskontrollen, verwenden Sie Whitelists für Dateipfade und halten Sie Ihre Software auf dem neuesten Stand.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.