Plataforma
python
Componente
zhayujie-chatgpt-on-wechat
Corrigido em
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
A vulnerabilidade CVE-2026-5998 é um problema de Path Traversal identificado no componente CowAgent (chatgpt-on-wechat), especificamente na função dispatch do arquivo service.py dentro do endpoint de memória. Essa falha permite que um atacante acesse arquivos sensíveis através da manipulação do argumento 'filename', possibilitando a leitura de dados confidenciais. As versões afetadas são 2.0.0 até 2.0.5, e a atualização para a versão 2.0.5 resolve a vulnerabilidade.
Uma vulnerabilidade de travessia de diretório (path traversal) foi descoberta no zhayujie chatgpt-on-wechat CowAgent, afetando versões até a 2.0.4. Essa vulnerabilidade reside na função de despacho de arquivo do componente API Memory Content Endpoint (localizado em agent/memory/service.py). Um atacante pode manipular o argumento 'filename' para acessar arquivos fora do diretório pretendido, comprometendo potencialmente a confidencialidade e a integridade do sistema. A gravidade da vulnerabilidade é classificada como 5.3 de acordo com o CVSS. A natureza remota do ataque e a publicação de um exploit disponível aumentam significativamente o risco. Essa vulnerabilidade poderia permitir que um atacante lesse arquivos confidenciais ou até mesmo executasse código malicioso no servidor.
A vulnerabilidade CVE-2026-5998 no CowAgent é explorada manipulando o parâmetro 'filename' no API Memory Content Endpoint. Um atacante pode construir uma URL maliciosa incluindo sequências como '..' para navegar fora do diretório esperado e acessar arquivos arbitrários no sistema de arquivos do servidor. A disponibilidade de um exploit público facilita a exploração dessa vulnerabilidade, aumentando o risco de ataques. Recomenda-se monitorar os logs do sistema em busca de atividade suspeita e implementar medidas de segurança adicionais para mitigar o risco.
Organizations utilizing CowAgent for integration with WeChat, particularly those with exposed API endpoints, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable versions
python -c 'import cowagent; print(cowagent.__version__)'• generic web:
# Check for endpoint exposure and suspicious requests
curl -I http://<target>/api/memory/content
# Look for unusual characters in the URL, such as '../'disclosure
patch
Status do Exploit
EPSS
0.06% (percentil 20%)
CISA SSVC
Vetor CVSS
A solução recomendada para mitigar essa vulnerabilidade é atualizar para a versão 2.0.5 do zhayujie chatgpt-on-wechat CowAgent. Essa versão inclui uma correção (patch) com o identificador 174ee0cafc9e8e9d97a23c305418251485b8aa89 que aborda diretamente a manipulação do argumento 'filename' e impede a travessia de diretório. Recomenda-se fortemente aplicar esta atualização o mais rápido possível para proteger seu sistema contra possíveis ataques. Consulte a documentação oficial do CowAgent para obter instruções detalhadas sobre como realizar a atualização. Além disso, revise as configurações de segurança do seu sistema para garantir uma abordagem de defesa em profundidade.
Actualice el componente chatgpt-on-wechat CowAgent a la versión 2.0.5 o superior para mitigar la vulnerabilidad de recorrido de directorio. La versión corregida incluye el parche 174ee0cafc9e8e9d97a23c305418251485b8aa89.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma técnica de ataque que permite a um atacante acessar arquivos ou diretórios em um servidor web que não deveriam ser acessíveis. Isso é alcançado manipulando o caminho do arquivo solicitado.
Se você estiver usando uma versão do CowAgent anterior à 2.0.5, provavelmente estará afetado. Consulte a documentação do CowAgent para obter instruções sobre como verificar sua versão instalada.
Se você não puder atualizar imediatamente, considere implementar medidas de segurança adicionais, como restringir o acesso ao API Memory Content Endpoint e monitorar os logs do sistema em busca de atividade suspeita.
Sempre existe um risco potencial ao atualizar qualquer software. Consulte a documentação do CowAgent para obter informações sobre possíveis incompatibilidades e etapas para realizar uma atualização segura.
Você pode encontrar mais informações sobre CVE-2026-5998 em bancos de dados de vulnerabilidades, como o National Vulnerability Database (NVD), e na documentação oficial do CowAgent.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.