Platform
python
Component
chuanhuchatgpt
Opgelost in
20240918
CVE-2024-6090 beschrijft een Path Traversal kwetsbaarheid in de gaizhenbiao/chuanhuchatgpt applicatie, specifiek in versies tot en met 20240918. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot en manipuleren van bestanden op het systeem. Het resultaat kan variëren van het verwijderen van chatgeschiedenissen van andere gebruikers tot een denial-of-service door het verwijderen van cruciale configuratiebestanden. Een update naar versie 20240918 is vereist om deze kwetsbaarheid te verhelpen.
De impact van CVE-2024-6090 is aanzienlijk. Een succesvolle exploitatie stelt een aanvaller in staat om chatgeschiedenissen van andere gebruikers te verwijderen, wat een schending van de privacy en vertrouwelijkheid kan veroorzaken. Erger nog, de kwetsbaarheid kan worden misbruikt om willekeurige bestanden met de extensie .json te verwijderen. Dit kan leiden tot een denial-of-service, omdat gebruikers mogelijk niet kunnen inloggen of de applicatie niet meer functioneert. De mogelijkheid om configuratiebestanden te verwijderen, kan de stabiliteit van het hele systeem in gevaar brengen. Hoewel er geen directe link is met bekende exploits, is de mogelijkheid om willekeurige bestanden te verwijderen zorgwekkend en vereist onmiddellijke aandacht.
CVE-2024-6090 is openbaar bekend gemaakt op 2024-06-27. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven). De kans op exploitatie wordt beschouwd als gemiddeld, gezien de relatieve eenvoud van Path Traversal aanvallen en de potentiële impact.
Organizations deploying gaizhenbiao/chuanhuchatgpt, particularly those using it for sensitive communications or data storage, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially compromise the entire environment by exploiting this vulnerability.
• python / server:
find /path/to/chuanhuchatgpt -name '*.json' -type f -mmin -60 # Check for recently modified .json files• generic web:
curl -I 'http://your-chuanhuchatgpt-server/../../../../etc/passwd' # Attempt path traversaldisclosure
Exploit Status
EPSS
0.21% (43% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-6090 is het updaten van de gaizhenbiao/chuanhuchatgpt applicatie naar versie 20240918 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de applicatie via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met paden die buiten de toegestane directory's vallen, te blokkeren. Controleer de bestandsrechten op het systeem om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige bestanden. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen; dit zou moeten resulteren in een foutmelding in plaats van succes.
Actualice a la versión 20240918 o posterior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la eliminación no autorizada de archivos. La actualización evitará que usuarios no autorizados eliminen el historial de chat de otros usuarios y archivos `.json`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-6090 is a Path Traversal vulnerability in gaizhenbiao/chuanhuchatgpt allowing attackers to delete user data and files, potentially causing denial of service.
You are affected if you are using chuanhuchatgpt versions equal to or less than 20240918.
Upgrade to version 20240918 or later. Implement file access controls and WAF rules as temporary mitigations.
There is currently no confirmed active exploitation, but the vulnerability's nature suggests potential for exploitation.
Refer to the gaizhenbiao/chuanhuchatgpt repository and related security announcements for the official advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.