Plateforme
python
Composant
openchatbi
Corrigé dans
0.2.3
0.2.2
Une vulnérabilité de type Path Traversal a été découverte dans openchatbi, affectant les versions inférieures ou égales à 0.2.1. Cette faille critique, présente dans le module save_report.py, permet à un attaquant d'écrire des fichiers en dehors du répertoire de rapports désigné. La correction est disponible dans la version 0.2.2, et il est fortement recommandé de la déployer rapidement.
L'exploitation de cette vulnérabilité permet à un attaquant de manipuler le chemin d'accès aux fichiers via le paramètre file_format. Le code ne filtre pas correctement les séquences de traversal de chemin comme /../../, ce qui permet d'écrire des fichiers dans des emplacements arbitraires sur le système de fichiers. Cela pourrait permettre à un attaquant de compromettre le serveur en y insérant des fichiers malveillants, d'exfiltrer des données sensibles, ou de prendre le contrôle du système. L'impact est significatif car il permet une manipulation directe du système de fichiers, contournant les mesures de sécurité standard.
Cette vulnérabilité a été publiée le 2 mars 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature critique de la faille et sa simplicité d'exploitation la rendent potentiellement attractive pour les attaquants. L'absence de KEV pour le moment ne signifie pas qu'elle n'est pas une menace, mais plutôt qu'elle n'a pas encore été observée dans des campagnes d'attaques ciblées.
Organizations deploying openchatbi, particularly those using older versions (≤0.2.1) or those with insufficient file access controls, are at significant risk. Shared hosting environments where multiple users have write access to the same directory are especially vulnerable.
• python / file system:
import os
import glob
report_dir = '/path/to/openchatbi/reports'
pattern = os.path.join(report_dir, '*.*')
# Check for unexpected files outside the report directory
for file in glob.glob(pattern):
if not file.startswith(report_dir): # Basic check - refine as needed
print(f"Potential path traversal: {file}")• generic web:
curl 'http://your-openchatbi-instance/tool/save_report?file_format=../../../../etc/passwd' -s | grep 'etc/passwd'disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
La solution la plus efficace est de mettre à jour openchatbi vers la version 0.2.2 ou supérieure, qui corrige cette vulnérabilité. En attendant, une mesure d'atténuation consiste à restreindre les permissions d'écriture sur le répertoire de rapports, limitant ainsi l'impact potentiel d'une exploitation réussie. Il est également possible de configurer un proxy inverse ou un WAF pour bloquer les requêtes contenant des séquences de traversal de chemin suspectes. Une analyse minutieuse du code source peut également permettre d'identifier et de corriger manuellement la faille, mais cela nécessite une expertise en sécurité.
Actualice OpenChatBI a la versión 0.2.2 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en la herramienta save_report. La actualización se puede realizar a través del gestor de paquetes utilizado para instalar OpenChatBI.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28795 is a Path Traversal vulnerability in openchatbi versions up to 0.2.1, allowing attackers to write files outside the intended report directory.
You are affected if you are using openchatbi version 0.2.1 or earlier. Check your version and upgrade immediately.
Upgrade to openchatbi version 0.2.2 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
There are currently no known active exploits or campaigns targeting CVE-2026-28795, but the HIGH severity warrants prompt remediation.
Refer to the openchatbi project's official repository or website for the latest security advisories and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.