Platform
python
Component
griptape-ai
Opgelost in
0.19.5
CVE-2026-5597 is een Path Traversal kwetsbaarheid ontdekt in griptape-ai versie 0.19.4. Deze kwetsbaarheid bevindt zich in het bestand 'griptape\tools\computer\tool.py' binnen de 'ComputerTool' component en maakt misbruik van de 'filename' parameter. Een succesvolle exploit kan leiden tot ongeautoriseerde toegang tot bestanden op het systeem en kan op afstand worden uitgevoerd. Er is momenteel geen officiële patch beschikbaar.
Een padtraverseringskwetsbaarheid (path traversal) is ontdekt in griptape-ai griptape versie 0.19.4. Deze fout beïnvloedt een onbekend deel van het bestand griptape\tools\computer\tool.py binnen de component ComputerTool. Een aanvaller kan het argument filename manipuleren om toegang te krijgen tot bestanden en mappen buiten de bedoelde map, waardoor de systeemintegriteit mogelijk wordt gecompromitteerd. De ernst van de kwetsbaarheid wordt beoordeeld als CVSS 6.3, wat een matig risico aangeeft. Remote exploitatie is mogelijk, waardoor het aanvalsoppervlak wordt vergroot. De publicatie van een exploit signaleert dat de kwetsbaarheid gemakkelijk te exploiteren is. Het gebrek aan reactie van de leverancier op vroege meldingen is zorgwekkend.
De kwetsbaarheid wordt geëxploiteerd door het argument filename binnen de ComputerTool te manipuleren. Een aanvaller kan sequenties zoals ../ gebruiken om buiten de bedoelde map te navigeren en toegang te krijgen tot willekeurige bestanden op het systeem. De remote aard van de exploitatie betekent dat een aanvaller deze kwetsbaarheid kan benutten vanaf elke locatie met toegang tot de griptape-applicatie. De publieke beschikbaarheid van de exploit vergemakkelijkt de exploitatie verder. Het gebrek aan reactie van de leverancier verergert de situatie en laat gebruikers zonder officiële oplossing.
Organizations deploying griptape-ai in production environments, particularly those relying on the ComputerTool component for file processing, are at risk. Systems with weak input validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same griptape-ai instance should be considered high-priority targets.
• python / server:
import os
import sys
def check_filename(filename):
# Basic check - prevent '..' sequences
if '..' in filename:
return False
return True
# Example usage (replace with actual input source)
filename = sys.argv[1]
if not check_filename(filename):
print("Invalid filename detected")• linux / server:
# Monitor access logs for suspicious file access attempts
grep -i "../" /var/log/griptape-ai/access.logdisclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een fix van de leverancier, richten de mitigerende maatregelen zich op preventieve maatregelen. Het wordt ten zeerste aanbevolen om het gebruik van griptape versie 0.19.4 te vermijden. Als griptape moet worden gebruikt, overweeg dan om te upgraden naar een latere versie (indien beschikbaar) of strenge toegangscontroles te implementeren om de toegang tot gevoelige bestanden te beperken. Strenge validatie van gebruikersinvoer, met name het argument filename, is cruciaal om padtraverseringsaanvallen te voorkomen. Het monitoren van systeemactiviteit op verdachte patronen kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Het implementeren van een beveiligingsbeleid dat de privileges van applicaties beperkt, is een aanbevolen praktijk.
Actualice a una versión corregida de griptape-ai. La vulnerabilidad de path traversal en el archivo tool.py permite la ejecución remota de código. Verifique las fuentes oficiales de griptape-ai para obtener instrucciones de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Padtraversering is een type kwetsbaarheid dat een aanvaller in staat stelt om toegang te krijgen tot bestanden en mappen buiten de bedoelde map, door sequenties zoals ../ in bestandspaden te gebruiken.
Het gebrek aan reactie van de leverancier duidt op een gebrek aan toewijding aan beveiliging en laat gebruikers zonder officiële fix of ondersteuning om de kwetsbaarheid te verzachten.
Als het gebruik van versie 0.19.4 absoluut noodzakelijk is, implementeer dan strenge toegangscontroles, valideer gebruikersinvoer en monitor systeemactiviteit op verdachte patronen.
Afhankelijk van uw behoeften, zijn er mogelijk andere tools of bibliotheken die vergelijkbare functionaliteit bieden zonder de padtraverseringskwetsbaarheid.
Valideer altijd gebruikersinvoer, implementeer strenge toegangscontroles, gebruik whitelists voor bestandspaden en houd uw software up-to-date.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.