Plataforma
python
Componente
dbgpt
Corregido en
0.6.1
Se ha identificado una vulnerabilidad de Path Traversal en dbgpt, específicamente en la versión 0.6.0 y anteriores. Esta falla permite a un atacante eliminar archivos arbitrarios del servidor, comprometiendo la integridad de los datos. La vulnerabilidad reside en el punto final de la API /v1/resource/file/delete y se debe a la falta de sanitización del parámetro file_key.
La vulnerabilidad de Path Traversal en dbgpt permite a un atacante, con acceso al punto final /v1/resource/file/delete, eliminar cualquier archivo en el servidor. Al manipular el parámetro file_key con rutas de archivo maliciosas, el atacante puede eludir los controles de acceso y borrar archivos críticos del sistema, incluyendo archivos de configuración, bases de datos o incluso el propio código de la aplicación. Esto podría resultar en la interrupción del servicio, pérdida de datos o incluso la toma de control completa del servidor. La falta de validación de entrada es la causa principal de esta vulnerabilidad, permitiendo la inyección de rutas arbitrarias.
La vulnerabilidad CVE-2024-10830 fue publicada el 20 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de la vulnerabilidad de Path Traversal la convierte en un objetivo atractivo para atacantes, especialmente si la aplicación está expuesta en Internet. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
Organizations deploying db-gpt in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Shared hosting environments where db-gpt instances share resources are also vulnerable, as an attacker could potentially exploit this vulnerability to impact other tenants.
• python / server:
# Monitor for requests to /v1/resource/file/delete with suspicious file_key parameters
# Example: grep '..' /var/log/nginx/access.log | grep '/v1/resource/file/delete'• generic web:
# Check for the existence of the endpoint
curl -I https://your-dbgpt-instance/v1/resource/file/deletedisclosure
Estado del Exploit
EPSS
0.22% (45% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-10830 es actualizar a una versión corregida de dbgpt que implemente la validación adecuada del parámetro file_key. Si la actualización inmediata no es posible, se recomienda implementar controles de acceso más estrictos al punto final /v1/resource/file/delete, restringiendo el acceso solo a usuarios autorizados. Además, se puede implementar una WAF (Web Application Firewall) para filtrar solicitudes maliciosas que intenten explotar esta vulnerabilidad. Es crucial revisar y fortalecer la validación de entrada en todas las partes de la aplicación para prevenir futuras vulnerabilidades de este tipo.
Actualice a una versión posterior a 0.6.0 o implemente una validación robusta de la entrada `file_key` para evitar el recorrido de directorios. Asegúrese de que los nombres de archivo proporcionados por el usuario se validen con una lista blanca o se limpien adecuadamente antes de usarlos para acceder a los archivos. Considere restringir el acceso a la función de eliminación de archivos solo a usuarios autorizados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10830 is a Path Traversal vulnerability in dbgpt versions up to 0.6.0, allowing attackers to delete files on the server by manipulating the file_key parameter in the /v1/resource/file/delete endpoint.
You are affected if you are using dbgpt version 0.6.0 or earlier. Assess your deployment to determine if this version is in use.
Upgrade to a patched version of dbgpt that addresses this vulnerability. Until a patch is available, implement workarounds like restricting access and validating input.
There are currently no reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Check the eosphoros-ai project's repository and associated communication channels for updates and advisories related to CVE-2024-10830.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.