HIGHCVE-2024-6255CVSS 8.2

gaizhenbiao/chuanhuchatgpt におけるパス・トラバーサル

プラットフォーム

python

コンポーネント

chuanhuchatgpt

AI Confidence: highNVDEPSS 3.9%レビュー済み: 2026年5月

CVE-2024-6255は、gaizhenbiao/chuanhuchatgptのJSONファイル処理におけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のJSONファイルを削除することが可能となり、システム機能の停止、設定の改ざん、データ損失などの深刻な影響を引き起こす可能性があります。影響を受けるバージョンは、最新バージョン以前です。現在、最新バージョンへのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がJSONファイルパスの検証不備を悪用し、任意のファイルシステム上のJSONファイルを削除することを可能にします。config.jsonやdsconfigchatbot.jsonといった重要な設定ファイルが削除されると、chuanhuchatgptの動作が完全に停止する可能性があります。さらに、攻撃者は設定ファイルを改ざんすることで、システムの挙動を不正に制御したり、機密情報を窃取したりする可能性があります。この脆弱性は、設定ファイルの整合性を維持する上で重大なリスクとなります。攻撃者は、この脆弱性を利用して、システム全体へのアクセス権を得るための足がかりとして利用する可能性も考えられます。

悪用の状況

CVE-2024-6255は、2024年7月31日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パストラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は確認されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations and individuals deploying chuanhuchatgpt, particularly those with publicly accessible instances or weak access controls, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to impact other users on the same server.

検出手順翻訳中…

• python / server:

find /path/to/chuanhuchatgpt -name '*.json' -type f -mmin -60 # Check for recently modified JSON files

• generic web:

curl -I 'http://your-chuanhuchatgpt-server/../../../../etc/passwd' # Attempt directory traversal

攻撃タイムライン

2024-07-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

3.86% (88% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントchuanhuchatgpt

ベンダーgaizhenbiao

影響範囲修正版

unspecified – latest—

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-21
公開日2024-07-31
更新日2024-08-30
EPSS 更新日2026-04-02

未パッチ — 公開から662日経過

緩和策と回避策

この脆弱性への主な対策は、chuanhuchatgptを最新バージョンにアップデートすることです。アップデートが困難な場合は、一時的な回避策として、JSONファイルへのアクセス権を制限するファイアウォールルールやプロキシ設定を導入することを検討してください。また、WAF（Web Application Firewall）を導入し、不正なファイルパスアクセスを検知・遮断することも有効です。ファイルシステムの監視を強化し、不審なファイル削除操作を早期に検知することも重要です。アップデート後、設定ファイルが正常に読み込まれ、システムが正常に動作することを確認してください。

修正方法翻訳中…

Actualice a una versión parcheada que valide correctamente las rutas de los archivos JSON. Si no hay una versión disponible, revise y corrija el código para asegurar que las rutas de los archivos estén validadas y que no permitan el recorrido de directorios. Implemente controles de acceso adecuados para restringir el acceso a los archivos de configuración críticos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-6255 — パストラバーサルはchuanhuchatgptで何ですか？

CVE-2024-6255は、gaizhenbiao/chuanhuchatgptのJSONファイル処理におけるパストラバーサル脆弱性であり、攻撃者が任意のJSONファイルを削除できる可能性があります。

CVE-2024-6255はchuanhuchatgptで影響を受けますか？

はい、chuanhuchatgptのバージョンが最新バージョン以前の場合、この脆弱性の影響を受けます。

CVE-2024-6255はchuanhuchatgptでどのように修正しますか？

chuanhuchatgptを最新バージョンにアップデートすることで、この脆弱性を修正できます。

CVE-2024-6255は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、注意が必要です。

CVE-2024-6255のchuanhuchatgpt公式アドバイザリはどこで入手できますか？

gaizhenbiao/chuanhuchatgptの公式リポジトリまたは関連ドキュメントを参照してください。