प्लेटफ़ॉर्म
python
घटक
zhayujie-chatgpt-on-wechat
में ठीक किया गया
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
zhayujie chatgpt-on-wechat CowAgent में एक Path Traversal भेद्यता पाई गई है, जो हमलावरों को अनधिकृत फ़ाइल एक्सेस करने की अनुमति दे सकती है। यह भेद्यता API Memory Content Endpoint के dispatch फ़ंक्शन में मौजूद है, जिससे फ़ाइलनाम में हेरफेर करके सिस्टम फ़ाइलों तक पहुंच प्राप्त की जा सकती है। यह भेद्यता CowAgent के संस्करण 2.0.0 से लेकर 2.0.4 तक के संस्करणों को प्रभावित करती है। संस्करण 2.0.5 में इस समस्या का समाधान किया गया है।
zhayujie chatgpt-on-wechat CowAgent के संस्करण 2.0.4 तक में एक पाथ ट्रावर्सल भेद्यता (path traversal vulnerability) पाई गई है। यह भेद्यता घटक API Memory Content Endpoint (agent/memory/service.py पर स्थित) के फ़ाइल डिस्पैच फ़ंक्शन में मौजूद है। एक हमलावर 'फ़ाइलनाम' तर्क को हेरफेर करके इच्छित निर्देशिका के बाहर फ़ाइलों तक पहुंच सकता है, जिससे सिस्टम की गोपनीयता और अखंडता खतरे में पड़ सकती है। CVSS के अनुसार इस भेद्यता की गंभीरता को 5.3 रेट किया गया है। हमले की दूरस्थ प्रकृति और उपलब्ध शोषण के प्रकाशन से जोखिम काफी बढ़ जाता है। इस भेद्यता का उपयोग करके, एक हमलावर संवेदनशील फ़ाइलों को पढ़ सकता है या सर्वर पर दुर्भावनापूर्ण कोड निष्पादित कर सकता है।
CowAgent में CVE-2026-5998 भेद्यता का उपयोग API Memory Content Endpoint में 'फ़ाइलनाम' पैरामीटर को हेरफेर करके किया जाता है। एक हमलावर '..' जैसे अनुक्रमों वाले दुर्भावनापूर्ण URL का निर्माण कर सकता है ताकि अपेक्षित निर्देशिका के बाहर नेविगेट किया जा सके और सर्वर फ़ाइल सिस्टम पर मनमाना फ़ाइलों तक पहुंचा जा सके। सार्वजनिक रूप से उपलब्ध शोषण की उपलब्धता इस भेद्यता के शोषण को सरल बनाती है, जिससे हमलों का जोखिम बढ़ जाता है। सिस्टम लॉग की निगरानी करना और संदिग्ध गतिविधि के लिए अतिरिक्त सुरक्षा उपाय लागू करना अनुशंसित है ताकि जोखिम को कम किया जा सके।
Organizations utilizing CowAgent for integration with WeChat, particularly those with exposed API endpoints, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable versions
python -c 'import cowagent; print(cowagent.__version__)'• generic web:
# Check for endpoint exposure and suspicious requests
curl -I http://<target>/api/memory/content
# Look for unusual characters in the URL, such as '../'disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए अनुशंसित समाधान zhayujie chatgpt-on-wechat CowAgent को संस्करण 2.0.5 में अपग्रेड करना है। इस संस्करण में एक फिक्स (पैच) शामिल है जिसका पहचानकर्ता 174ee0cafc9e8e9d97a23c305418251485b8aa89 है, जो 'फ़ाइलनाम' तर्क के हेरफेर को सीधे संबोधित करता है और पाथ ट्रावर्सल को रोकता है। संभावित हमलों से अपने सिस्टम की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की पुरजोर अनुशंसा की जाती है। विस्तृत निर्देशों के लिए CowAgent के आधिकारिक दस्तावेज़ देखें। इसके अतिरिक्त, अपने सिस्टम की सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें ताकि गहराई से रक्षा सुनिश्चित हो सके।
Actualice el componente chatgpt-on-wechat CowAgent a la versión 2.0.5 o superior para mitigar la vulnerabilidad de recorrido de directorio. La versión corregida incluye el parche 174ee0cafc9e8e9d97a23c305418251485b8aa89.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक आक्रमण तकनीक है जो एक हमलावर को वेब सर्वर पर फ़ाइलों या निर्देशिकाओं तक पहुंचने की अनुमति देती है जिन तक उसे पहुंचना नहीं चाहिए। यह अनुरोधित फ़ाइल पथ को हेरफेर करके प्राप्त किया जाता है।
यदि आप CowAgent के 2.0.5 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित होने की संभावना है। अपने स्थापित संस्करण की जांच करने के तरीके के बारे में जानने के लिए CowAgent दस्तावेज़ देखें।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो API Memory Content Endpoint तक पहुंच को प्रतिबंधित करने और संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करने जैसे अतिरिक्त सुरक्षा उपाय लागू करने पर विचार करें।
किसी भी सॉफ़्टवेयर को अपग्रेड करते समय हमेशा संभावित रिग्रेशन का जोखिम होता है। संभावित असंगतियों और सुरक्षित अपग्रेड करने के चरणों के बारे में जानने के लिए CowAgent दस्तावेज़ देखें।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस और CowAgent के आधिकारिक दस्तावेज़ में CVE-2026-5998 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।