प्लेटफ़ॉर्म
python
घटक
griptape-ai
में ठीक किया गया
0.19.5
CVE-2026-5597 griptape-ai के संस्करण 0.19.4 में एक Path Traversal भेद्यता है। इस भेद्यता का शोषण करके हमलावर सिस्टम पर अनधिकृत फ़ाइल एक्सेस प्राप्त कर सकते हैं, जिससे डेटा उल्लंघन या अन्य हानिकारक गतिविधियाँ हो सकती हैं। यह भेद्यता griptape\tools\computer\tool.py फ़ाइल के ComputerTool घटक को प्रभावित करती है। भेद्यता का समाधान अभी तक उपलब्ध नहीं है।
griptape-ai griptape संस्करण 0.19.4 में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है। यह दोष griptape\tools\computer\tool.py फ़ाइल के भीतर ComputerTool घटक के अज्ञात भाग को प्रभावित करता है। एक हमलावर filename तर्क में हेरफेर करके इच्छित निर्देशिका के बाहर फ़ाइलों और निर्देशिकाओं तक पहुंच सकता है, जिससे सिस्टम अखंडता खतरे में पड़ सकती है। इस भेद्यता की गंभीरता को CVSS 6.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। दूरस्थ शोषण संभव है, जिससे हमले की सतह बढ़ जाती है। एक शोषण के प्रकाशन से पता चलता है कि यह भेद्यता आसानी से शोषण योग्य है। प्रारंभिक प्रकटीकरण के प्रति विक्रेता की प्रतिक्रिया की कमी चिंताजनक है।
भेद्यता का शोषण ComputerTool के भीतर filename तर्क में हेरफेर करके किया जाता है। एक हमलावर ../ जैसी अनुक्रमों का उपयोग करके इच्छित निर्देशिका के बाहर नेविगेट कर सकता है और सिस्टम पर मनमाना फ़ाइलों तक पहुंच सकता है। शोषण की दूरस्थ प्रकृति का मतलब है कि एक हमलावर griptape एप्लिकेशन तक पहुंच वाले किसी भी स्थान से इस भेद्यता का फायदा उठा सकता है। शोषण के सार्वजनिक उपलब्धता से शोषण और भी आसान हो जाता है। विक्रेता की प्रतिक्रिया की कमी से स्थिति और खराब हो जाती है, जिससे उपयोगकर्ताओं के पास कोई आधिकारिक समाधान नहीं रहता है।
Organizations deploying griptape-ai in production environments, particularly those relying on the ComputerTool component for file processing, are at risk. Systems with weak input validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same griptape-ai instance should be considered high-priority targets.
• python / server:
import os
import sys
def check_filename(filename):
# Basic check - prevent '..' sequences
if '..' in filename:
return False
return True
# Example usage (replace with actual input source)
filename = sys.argv[1]
if not check_filename(filename):
print("Invalid filename detected")• linux / server:
# Monitor access logs for suspicious file access attempts
grep -i "../" /var/log/griptape-ai/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
विक्रेता द्वारा किसी समाधान की कमी के कारण, शमन उपाय निवारक उपायों पर ध्यान केंद्रित करते हैं। griptape संस्करण 0.19.4 का उपयोग करने से सख्ती से बचने की सलाह दी जाती है। यदि griptape का उपयोग करना आवश्यक है, तो बाद के संस्करण में अपग्रेड करने या संवेदनशील फ़ाइलों तक पहुंच को प्रतिबंधित करने के लिए सख्त एक्सेस नियंत्रण लागू करने पर विचार करें। filename तर्क सहित उपयोगकर्ता इनपुट का सख्त सत्यापन पथ पारगमन हमलों को रोकने के लिए महत्वपूर्ण है। संदिग्ध पैटर्न के लिए सिस्टम गतिविधि की निगरानी भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है। अनुप्रयोग विशेषाधिकारों को सीमित करने वाली सुरक्षा नीति को लागू करना एक अनुशंसित अभ्यास है।
Actualice a una versión corregida de griptape-ai. La vulnerabilidad de path traversal en el archivo tool.py permite la ejecución remota de código. Verifique las fuentes oficiales de griptape-ai para obtener instrucciones de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
पथ पारगमन एक प्रकार की भेद्यता है जो एक हमलावर को फ़ाइल पथ में ../ जैसी अनुक्रमों का उपयोग करके इच्छित निर्देशिका के बाहर फ़ाइलों और निर्देशिकाओं तक पहुंचने की अनुमति देती है।
विक्रेता की प्रतिक्रिया की कमी सुरक्षा के प्रति प्रतिबद्धता की कमी को दर्शाती है और उपयोगकर्ताओं को भेद्यता को कम करने के लिए कोई आधिकारिक सुधार या समर्थन नहीं देती है।
यदि संस्करण 0.19.4 का उपयोग करना बिल्कुल आवश्यक है, तो सख्त एक्सेस नियंत्रण लागू करें, उपयोगकर्ता इनपुट को मान्य करें और संदिग्ध पैटर्न के लिए सिस्टम गतिविधि की निगरानी करें।
आपकी आवश्यकताओं के आधार पर, ऐसे अन्य उपकरण या लाइब्रेरी हो सकते हैं जो पथ पारगमन भेद्यता के बिना समान कार्यक्षमता प्रदान करते हैं।
हमेशा उपयोगकर्ता इनपुट को मान्य करें, सख्त एक्सेस नियंत्रण लागू करें, फ़ाइल पथ के लिए व्हाइटलिस्ट का उपयोग करें और अपने सॉफ़्टवेयर को अपडेट रखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।