Transposição de Caminho em transformeroptimus/superagi

A exploração bem-sucedida desta vulnerabilidade de Path Traversal pode ter consequências graves. Um atacante pode, por exemplo, carregar um script malicioso (como um arquivo PHP) e executá-lo no servidor, obtendo controle sobre o sistema. Alternativamente, o atacante pode sobrescrever arquivos críticos do sistema, causando interrupção do serviço ou comprometimento de dados sensíveis. O potencial de execução remota de código (RCE) torna esta vulnerabilidade particularmente perigosa, permitindo que um invasor execute comandos arbitrários com os privilégios do usuário sob o qual o SuperAGI está sendo executado. A amplitude do impacto pode se estender a todos os dados armazenados no servidor e a outros sistemas acessíveis a partir dele.

Organizations deploying SuperAGI, particularly those using the 0.0.14 version or earlier, are at risk. Shared hosting environments where SuperAGI is deployed alongside other applications are particularly vulnerable, as a successful exploit could potentially compromise other tenants on the same server. Users who have not implemented robust file upload validation and access controls are also at increased risk.

• python / server:

import os
import glob

# Check for unusual files in the upload directory
upload_dir = '/path/to/superagi/uploads/'
for file in glob.glob(upload_dir + '*'):
    if '..' in file or '../' in file:
        print(f'Potential Path Traversal: {file}')

• linux / server:

# Check for files outside the intended upload directory
find /path/to/superagi/uploads/ -type f -not -path '/path/to/superagi/uploads/*'

• generic web:

curl -I 'http://your-superagi-server/uploads/../../../../etc/passwd' # Check for directory traversal attempts

1. 2025-03-20Disclosure

   disclosure

1. Reservado2024-10-01
2. Publicada2025-03-20
3. EPSS atualizado2026-04-02

Enquanto a correção oficial está em desenvolvimento, algumas medidas de mitigação podem ser implementadas para reduzir o risco. A primeira e mais importante é restringir o acesso à funcionalidade de upload de arquivos, limitando-a apenas a usuários autenticados e confiáveis. Implementar validação rigorosa dos nomes de arquivos e tipos de arquivos enviados, rejeitando qualquer arquivo que contenha caracteres especiais ou extensões suspeitas. Considere a utilização de um Web Application Firewall (WAF) para bloquear tentativas de exploração de Path Traversal. Monitore os logs do servidor em busca de atividades suspeitas, como uploads de arquivos com nomes incomuns ou acesso a diretórios sensíveis. Após a disponibilização da atualização, confirme a correção verificando se o upload de arquivos em diretórios fora do local esperado é bloqueado.