Plataforma
python
Componente
chuanhuchatgpt
Corrigido em
20240918
Uma vulnerabilidade de Path Traversal foi identificada na versão 20240410 do chuanhuchatgpt, um componente Python. Esta falha permite que qualquer usuário exclua os históricos de chat de outros usuários, e potencialmente, qualquer arquivo com a extensão .json no sistema alvo. A vulnerabilidade afeta versões anteriores a 20240918 e pode levar a uma negação de serviço, impedindo a autenticação dos usuários.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado para excluir dados sensíveis no sistema. A capacidade de deletar arquivos .json representa um risco significativo, pois esses arquivos podem conter informações de configuração, dados de usuários ou outros dados críticos. A exclusão desses arquivos pode interromper o funcionamento do aplicativo, impedindo a autenticação dos usuários e causando uma negação de serviço generalizada. O impacto pode se estender a todos os usuários do sistema, dependendo da localização e sensibilidade dos arquivos .json afetados. Embora não haja relatos de exploração ativa, a facilidade de exploração e o potencial impacto tornam esta vulnerabilidade uma preocupação significativa.
Esta vulnerabilidade foi divulgada em 27 de junho de 2024. Não foi adicionada ao KEV da CISA até o momento. Não há public proof-of-concept (PoC) amplamente disponíveis, mas a natureza da vulnerabilidade de Path Traversal sugere que um PoC pode ser facilmente criado. A probabilidade de exploração é considerada média, devido à facilidade de exploração e ao potencial impacto.
Organizations deploying gaizhenbiao/chuanhuchatgpt, particularly those using it for sensitive communications or data storage, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially compromise the entire environment by exploiting this vulnerability.
• python / server:
find /path/to/chuanhuchatgpt -name '*.json' -type f -mmin -60 # Check for recently modified .json files• generic web:
curl -I 'http://your-chuanhuchatgpt-server/../../../../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
0.21% (percentil 43%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 20240918 do chuanhuchatgpt. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais. Restrinja o acesso ao diretório onde os arquivos .json são armazenados, limitando o acesso apenas a usuários autorizados. Implemente controles de acesso rigorosos para garantir que apenas usuários autenticados e autorizados possam acessar e modificar os arquivos. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso não autorizado ou exclusão de arquivos. Após a atualização, verifique se a vulnerabilidade foi corrigida, tentando acessar os arquivos .json com uma conta de usuário não privilegiada.
Actualice a la versión 20240918 o posterior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la eliminación no autorizada de archivos. La actualización evitará que usuarios no autorizados eliminen el historial de chat de otros usuarios y archivos `.json`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-6090 is a Path Traversal vulnerability in gaizhenbiao/chuanhuchatgpt allowing attackers to delete user data and files, potentially causing denial of service.
You are affected if you are using chuanhuchatgpt versions equal to or less than 20240918.
Upgrade to version 20240918 or later. Implement file access controls and WAF rules as temporary mitigations.
There is currently no confirmed active exploitation, but the vulnerability's nature suggests potential for exploitation.
Refer to the gaizhenbiao/chuanhuchatgpt repository and related security announcements for the official advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.