Plateforme
python
Composant
chuanhuchatgpt
Une vulnérabilité de type Path Traversal a été découverte dans gaizhenbiao/chuanhuchatgpt, affectant les versions antérieures ou égales à la dernière version disponible. Cette faille permet à un utilisateur non autorisé de supprimer des fichiers JSON sur le serveur, compromettant potentiellement la configuration et le fonctionnement du système. La cause réside dans une validation insuffisante des chemins de fichiers, ouvrant la porte à des attaques de traversal de répertoire. Aucune version corrigée n'est actuellement disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de supprimer des fichiers JSON critiques, tels que config.json et dsconfigchatbot.json. La suppression de ces fichiers peut entraîner une perte de configuration, une corruption des données ou une interruption complète du service. Un attaquant pourrait également utiliser cette vulnérabilité pour manipuler les paramètres de l'application, modifiant ainsi son comportement. Bien qu'il n'y ait pas de preuve d'exploitation active à ce jour, la facilité d'exploitation de cette vulnérabilité en fait une cible attrayante pour les acteurs malveillants.
Cette vulnérabilité a été rendue publique le 31 juillet 2024. Elle n'a pas encore été ajoutée au KEV de CISA, ni est-elle associée à un score EPSS. Bien qu'aucun proof-of-concept public n'ait été largement diffusé, la simplicité de l'exploitation suggère un risque potentiel d'exploitation rapide. Il est recommandé de surveiller les forums de sécurité et les canaux de renseignement sur les menaces pour détecter toute activité malveillante.
Organizations and individuals deploying chuanhuchatgpt, particularly those with publicly accessible instances or weak access controls, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to impact other users on the same server.
• python / server:
find /path/to/chuanhuchatgpt -name '*.json' -type f -mmin -60 # Check for recently modified JSON files• generic web:
curl -I 'http://your-chuanhuchatgpt-server/../../../../etc/passwd' # Attempt directory traversaldisclosure
Statut de l'Exploit
EPSS
3.86% (percentile 88%)
CISA SSVC
Vecteur CVSS
En l'absence d'une version corrigée, des mesures d'atténuation doivent être mises en œuvre pour réduire le risque d'exploitation. La première étape consiste à restreindre l'accès aux fichiers JSON sensibles, en limitant les permissions aux seuls utilisateurs et processus autorisés. Il est également recommandé de mettre en place une surveillance accrue des accès aux fichiers, afin de détecter toute tentative de suppression non autorisée. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes qui tentent d'exploiter cette vulnérabilité. Enfin, une analyse régulière des fichiers de configuration est conseillée pour détecter toute modification suspecte.
Actualice a una versión parcheada que valide correctamente las rutas de los archivos JSON. Si no hay una versión disponible, revise y corrija el código para asegurar que las rutas de los archivos estén validadas y que no permitan el recorrido de directorios. Implemente controles de acceso adecuados para restringir el acceso a los archivos de configuración críticos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-6255 is a vulnerability in chuanhuchatgpt that allows attackers to delete JSON files by exploiting improper file path validation.
Yes, if you are using a version of chuanhuchatgpt prior to the latest release, you are potentially affected by this vulnerability.
The recommended fix is to upgrade to the latest version of chuanhuchatgpt as soon as a patched release is available. Until then, implement access restrictions and input validation.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation warrants prompt mitigation.
Refer to the gaizhenbiao/chuanhuchatgpt project's repository or website for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.