プラットフォーム
python
コンポーネント
transformeroptimus/superagi
CVE-2024-9415は、transformeroptimus/superagiのバージョン0.0.14以下のファイルアップロード機能に存在するパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はサーバーに任意のファイルをアップロードすることが可能となり、リモートコード実行や機密情報の漏洩、システムファイルの改ざんなどの深刻な影響を引き起こす可能性があります。最新バージョンへのアップデートにより、この脆弱性は修正されています。
このパストラバーサル脆弱性は、攻撃者がファイルシステムを自由に操作することを可能にします。攻撃者は、悪意のあるスクリプトをアップロードしてサーバー上で実行したり、重要な設定ファイルを上書きしてシステムを制御したりする可能性があります。また、機密情報を含むファイルをアップロードして盗み出すことも可能です。この脆弱性の影響範囲は広範囲に及び、サーバー全体のセキュリティが脅かされる可能性があります。類似の脆弱性は、Webアプリケーションにおけるファイルアップロード機能の不備から発生することが多く、厳重な入力検証とアクセス制御が不可欠です。
CVE-2024-9415は、2025年3月20日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、パストラバーサル脆弱性は比較的悪用が容易であり、今後、悪用される可能性は否定できません。公開された脆弱性情報に基づき、迅速な対応が必要です。
Organizations deploying SuperAGI, particularly those using the 0.0.14 version or earlier, are at risk. Shared hosting environments where SuperAGI is deployed alongside other applications are particularly vulnerable, as a successful exploit could potentially compromise other tenants on the same server. Users who have not implemented robust file upload validation and access controls are also at increased risk.
• python / server:
import os
import glob
# Check for unusual files in the upload directory
upload_dir = '/path/to/superagi/uploads/'
for file in glob.glob(upload_dir + '*'):
if '..' in file or '../' in file:
print(f'Potential Path Traversal: {file}')• linux / server:
# Check for files outside the intended upload directory
find /path/to/superagi/uploads/ -type f -not -path '/path/to/superagi/uploads/*'• generic web:
curl -I 'http://your-superagi-server/uploads/../../../../etc/passwd' # Check for directory traversal attemptsdisclosure
エクスプロイト状況
EPSS
1.35% (80% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずtransformeroptimus/superagiを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、ファイルアップロード機能へのアクセスを一時的に制限するか、アップロード可能なファイルの種類を厳格に制限するなどの代替策を検討してください。Webアプリケーションファイアウォール(WAF)を導入し、パストラバーサル攻撃を検知・防御するルールを設定することも有効です。また、ファイルアップロードディレクトリへのアクセス権を最小限に制限し、定期的なセキュリティ監査を実施することで、リスクを軽減できます。
Actualice SuperAGI a una versión posterior a 0.0.14 que corrija la vulnerabilidad de Path Traversal. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección. Como medida preventiva, revise y valide las rutas de los archivos cargados por los usuarios para evitar el acceso a directorios no autorizados.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-9415は、transformeroptimus/superagiのファイルアップロード機能におけるパストラバーサル脆弱性であり、攻撃者が任意のファイルをサーバーにアップロードできる可能性があります。
transformeroptimus/superagiのバージョン0.0.14以下を使用している場合、この脆弱性の影響を受けます。最新バージョンへのアップデートを推奨します。
transformeroptimus/superagiを最新バージョンにアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、ファイルアップロード機能へのアクセスを制限するなどの代替策を検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、悪用される可能性は否定できません。迅速な対応が必要です。
transformeroptimus/superagiの公式アドバイザリは、transformeroptimusの公式ウェブサイトまたはGitHubリポジトリで確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。