Platform
python
Component
transformeroptimus/superagi
CVE-2024-9415 beschrijft een Path Traversal kwetsbaarheid in de file upload functionaliteit van transformeroptimus/superagi, versie 0.0.14 en eerder. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden naar de server te uploaden, wat kan leiden tot ernstige gevolgen zoals remote code execution. Het is cruciaal om de software te updaten of passende mitigaties te implementeren om dit risico te beperken.
De Path Traversal kwetsbaarheid in SuperAGI stelt aanvallers in staat om bestanden buiten de toegestane upload directory te plaatsen. Dit betekent dat een kwaadwillende gebruiker potentieel elk bestand op de server kan overschrijven of uploaden, inclusief configuratiebestanden, systeemscripts of zelfs malware. Afhankelijk van de permissies van de gebruiker die de applicatie draait, kan dit leiden tot volledige controle over de server en de daaraan gekoppelde data. Een succesvolle exploitatie kan resulteren in dataverlies, compromittering van gevoelige informatie en het verkrijgen van een foothold voor verdere aanvallen.
Op dit moment (2025-03-20) is er geen publieke exploitatie van CVE-2024-9415 bekend. De kwetsbaarheid is recentelijk openbaar gemaakt en de impact is hoog, wat de kans op toekomstige exploitatie verhoogt. Het is aan te raden om de situatie te monitoren en proactieve maatregelen te nemen om de risico's te minimaliseren. Er is geen vermelding op de CISA KEV catalogus.
Organizations deploying SuperAGI, particularly those using the 0.0.14 version or earlier, are at risk. Shared hosting environments where SuperAGI is deployed alongside other applications are particularly vulnerable, as a successful exploit could potentially compromise other tenants on the same server. Users who have not implemented robust file upload validation and access controls are also at increased risk.
• python / server:
import os
import glob
# Check for unusual files in the upload directory
upload_dir = '/path/to/superagi/uploads/'
for file in glob.glob(upload_dir + '*'):
if '..' in file or '../' in file:
print(f'Potential Path Traversal: {file}')• linux / server:
# Check for files outside the intended upload directory
find /path/to/superagi/uploads/ -type f -not -path '/path/to/superagi/uploads/*'• generic web:
curl -I 'http://your-superagi-server/uploads/../../../../etc/passwd' # Check for directory traversal attemptsdisclosure
Exploit Status
EPSS
1.35% (80% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-9415 is het updaten van SuperAGI naar een versie waarin deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de upload directory en het valideren van de bestandsnamen die door gebruikers worden ingevoerd. Het gebruik van een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren kan ook helpen. Controleer de configuratie van de applicatie om te verzekeren dat de upload directory niet toegankelijk is voor onbevoegden.
Actualice SuperAGI a una versión posterior a 0.0.14 que corrija la vulnerabilidad de Path Traversal. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección. Como medida preventiva, revise y valide las rutas de los archivos cargados por los usuarios para evitar el acceso a directorios no autorizados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-9415 is a Path Traversal vulnerability in SuperAGI versions up to the latest, allowing attackers to upload arbitrary files potentially leading to code execution.
If you are running SuperAGI version 0.0.14 or earlier, you are affected by this vulnerability and should prioritize patching.
Upgrade to a patched version of SuperAGI as soon as it becomes available. In the meantime, implement mitigation steps like restricting upload paths and validating file types.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the transformeroptimus/superagi project repository and associated security advisories for updates and official guidance.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.