Platform
python
Component
dbgpt
Opgelost in
0.6.1
CVE-2024-10830 beschrijft een Path Traversal kwetsbaarheid in de eosphoros-ai/db-gpt applicatie, specifiek in versie 0.6.0 en eerder. Deze kwetsbaarheid stelt aanvallers in staat om bestanden op de server te verwijderen, wat kan leiden tot dataverlies en potentieel systeemcompromittering. Het probleem ligt in de onvoldoende validatie van de file_key parameter in de /v1/resource/file/delete API endpoint. Een patch is beschikbaar.
De impact van deze Path Traversal kwetsbaarheid is significant. Een succesvolle aanval kan leiden tot het verwijderen van kritieke systeembestanden, configuratiebestanden of zelfs applicatiecode. Dit kan resulteren in een Denial of Service (DoS) situatie, waarbij de applicatie onbruikbaar wordt. In het ergste geval kan een aanvaller toegang krijgen tot gevoelige data of de server volledig overnemen. De kwetsbaarheid maakt gebruik van de mogelijkheid om willekeurige paden te specificeren, waardoor de aanvaller controle krijgt over welke bestanden worden verwijderd. Dit is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij onvoldoende validatie van gebruikersinvoer wordt toegepast.
Op dit moment is er geen publieke exploitatie van CVE-2024-10830 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-03-20. De EPSS score is nog niet bekend. Er zijn geen indicaties van actieve campagnes gericht op deze kwetsbaarheid. Controleer de NVD en CISA websites voor updates.
Organizations deploying db-gpt in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Shared hosting environments where db-gpt instances share resources are also vulnerable, as an attacker could potentially exploit this vulnerability to impact other tenants.
• python / server:
# Monitor for requests to /v1/resource/file/delete with suspicious file_key parameters
# Example: grep '..' /var/log/nginx/access.log | grep '/v1/resource/file/delete'• generic web:
# Check for the existence of the endpoint
curl -I https://your-dbgpt-instance/v1/resource/file/deletedisclosure
Exploit Status
EPSS
0.22% (45% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-10830 is het upgraden naar een beveiligde versie van eosphoros-ai/db-gpt. Controleer de officiële repository voor de meest recente versie met de correctie. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de /v1/resource/file/delete endpoint te beschermen. Configureer de WAF om alle requests met onverwachte of onveilige paden te blokkeren. Daarnaast kan het implementeren van strikte toegangscontroles en het beperken van de rechten van de applicatiegebruiker de impact van een succesvolle aanval verminderen. Na de upgrade, verifieer de correctie door een poging te doen om een bestand te verwijderen met een ongeldig file_key pad en controleer of de actie wordt geweigerd.
Actualice a una versión posterior a 0.6.0 o implemente una validación robusta de la entrada `file_key` para evitar el recorrido de directorios. Asegúrese de que los nombres de archivo proporcionados por el usuario se validen con una lista blanca o se limpien adecuadamente antes de usarlos para acceder a los archivos. Considere restringir el acceso a la función de eliminación de archivos solo a usuarios autorizados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-10830 is a Path Traversal vulnerability in dbgpt versions up to 0.6.0, allowing attackers to delete files on the server by manipulating the file_key parameter in the /v1/resource/file/delete endpoint.
You are affected if you are using dbgpt version 0.6.0 or earlier. Assess your deployment to determine if this version is in use.
Upgrade to a patched version of dbgpt that addresses this vulnerability. Until a patch is available, implement workarounds like restricting access and validating input.
There are currently no reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Check the eosphoros-ai project's repository and associated communication channels for updates and advisories related to CVE-2024-10830.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.