HIGHCVE-2024-10830CVSS 8.2

DB-GPT パス・トラバーサル脆弱性

Q: CVE-2024-10830 — Path Traversal in dbgptとは何ですか？

CVE-2024-10830は、eosphoros-ai/db-gptのバージョン0.6.0以下の`/v1/resource/file/delete`エンドポイントにおけるPath Traversal脆弱性です。攻撃者は、`file_key`パラメータを操作することで、任意のファイルを削除できます。

プラットフォーム

python

コンポーネント

dbgpt

修正版

0.6.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-10830は、eosphoros-ai/db-gptにおいてPath Traversal脆弱性が存在する問題です。攻撃者は、/v1/resource/file/deleteエンドポイントのfile_keyパラメータを操作することで、サーバー上の任意のファイルを削除できてしまいます。この脆弱性は、db-gptのバージョン0.6.0以下に影響を与えます。2025年3月20日に公開されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はサーバー上の機密情報を含むファイルを削除し、システムの可用性を著しく損なう可能性があります。特に、データベースのバックアップファイルや設定ファイルなどが削除されると、データ損失やシステム停止に直結します。攻撃者は、この脆弱性を利用して、他のシステムへの攻撃の足がかりを築くことも考えられます。この脆弱性は、ファイルシステムへの直接的なアクセスを許可するものではないため、攻撃者は認証情報を悪用する必要がある可能性がありますが、認証情報が漏洩している場合は、深刻な被害につながる可能性があります。

悪用の状況

CVE-2024-10830は、現時点ではKEVに登録されていません。CVSSスコアは8.2（HIGH）であり、攻撃の可能性は中程度と評価されます。公開されているPoCは確認されていませんが、Path Traversal脆弱性は比較的悪用が容易であるため、今後の攻撃の可能性に注意が必要です。NVDおよびCISAの公開日は2025年3月20日です。

リスク対象者翻訳中…

Organizations deploying db-gpt in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Shared hosting environments where db-gpt instances share resources are also vulnerable, as an attacker could potentially exploit this vulnerability to impact other tenants.

検出手順翻訳中…

• python / server:

# Monitor for requests to /v1/resource/file/delete with suspicious file_key parameters
# Example: grep '..' /var/log/nginx/access.log | grep '/v1/resource/file/delete'

• generic web:

# Check for the existence of the endpoint
curl -I https://your-dbgpt-instance/v1/resource/file/delete

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.22% (45% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdbgpt

ベンダーosv

影響範囲修正版

unspecified – latest—

0.6.00.6.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-11-04
公開日2025-03-20
更新日2025-03-21
EPSS 更新日2026-04-02

未パッチ — 公開から430日経過

緩和策と回避策

この脆弱性への対応として、まずdb-gptを最新バージョンにアップデートすることを推奨します。バージョンアップが困難な場合は、/v1/resource/file/deleteエンドポイントへのアクセスを一時的に制限するか、file_keyパラメータに対する厳格な入力検証を実装してください。WAF（Web Application Firewall）を使用している場合は、Path Traversal攻撃を検知・防御するルールを設定することも有効です。また、ファイルシステムのアクセス権限を適切に設定し、攻撃者がアクセスできる範囲を制限することも重要です。

修正方法翻訳中…

Actualice a una versión posterior a 0.6.0 o implemente una validación robusta de la entrada `file_key` para evitar el recorrido de directorios. Asegúrese de que los nombres de archivo proporcionados por el usuario se validen con una lista blanca o se limpien adecuadamente antes de usarlos para acceder a los archivos. Considere restringir el acceso a la función de eliminación de archivos solo a usuarios autorizados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-10830 — Path Traversal in dbgptとは何ですか？

CVE-2024-10830は、eosphoros-ai/db-gptのバージョン0.6.0以下の/v1/resource/file/deleteエンドポイントにおけるPath Traversal脆弱性です。攻撃者は、file_keyパラメータを操作することで、任意のファイルを削除できます。

CVE-2024-10830 in dbgptの影響はありますか？

はい、db-gptのバージョン0.6.0以下を使用している場合、この脆弱性により、サーバー上の機密情報を含むファイルを削除されるリスクがあります。

CVE-2024-10830 in dbgptを修正するにはどうすればよいですか？

まず、db-gptを最新バージョンにアップデートすることを推奨します。バージョンアップが困難な場合は、エンドポイントへのアクセス制限や、file_keyパラメータに対する入力検証を実装してください。

CVE-2024-10830は積極的に悪用されていますか？

現時点では、CVE-2024-10830を悪用した具体的な事例は確認されていませんが、Path Traversal脆弱性は比較的悪用が容易であるため、今後の攻撃の可能性に注意が必要です。

CVE-2024-10830に関する公式のdbgptアドバイザリはどこで入手できますか？

eosphoros-ai/db-gptの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは関連するセキュリティ情報サイトで確認してください。