CVE-2024-6090 是 gaizhenbiao/chuanhuchatgpt 中发现的路径遍历漏洞。该漏洞允许攻击者删除其他用户的聊天记录,并可能删除以 .json 结尾的任何文件,从而导致服务中断。该漏洞影响所有版本低于或等于 20240918 的 chuanhuchatgpt。已发布修复版本 20240918。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞删除其他用户的敏感聊天记录,侵犯用户隐私。更严重的是,攻击者可以删除任何以 .json 结尾的文件,这可能包括配置文件、数据库备份或其他关键数据,导致系统完全不可用,造成严重的服务中断。攻击者可能利用此漏洞进行拒绝服务攻击,阻止合法用户访问系统。由于该漏洞允许文件删除,因此可能存在进一步的攻击途径,例如通过删除关键文件来破坏系统完整性。
目前尚未公开发现针对 CVE-2024-6090 的利用代码。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Organizations deploying gaizhenbiao/chuanhuchatgpt, particularly those using it for sensitive communications or data storage, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially compromise the entire environment by exploiting this vulnerability.
• python / server:
find /path/to/chuanhuchatgpt -name '*.json' -type f -mmin -60 # Check for recently modified .json files• generic web:
curl -I 'http://your-chuanhuchatgpt-server/../../../../etc/passwd' # Attempt path traversaldisclosure
漏洞利用状态
EPSS
0.21% (43% 百分位)
CISA SSVC
CVSS 向量
缓解 CVE-2024-6090 的主要方法是立即升级到修复版本 20240918。如果无法立即升级,可以考虑限制对 / 目录的访问,并实施严格的文件权限控制,以防止未经授权的文件删除。监控系统日志,查找任何异常的文件删除活动。如果无法升级,请确保对文件系统进行定期备份,以便在发生数据丢失时进行恢复。升级后,请验证系统功能是否正常,并确认聊天记录和配置文件已得到保护。
Actualice a la versión 20240918 o posterior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la eliminación no autorizada de archivos. La actualización evitará que usuarios no autorizados eliminen el historial de chat de otros usuarios y archivos `.json`.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-6090 是 gaizhenbiao/chuanhuchatgpt 中发现的路径遍历漏洞,允许攻击者删除其他用户的聊天记录,甚至删除以 .json 结尾的任何文件,导致拒绝服务。
如果您正在使用 gaizhenbiao/chuanhuchatgpt 的版本低于或等于 20240918,则您可能受到影响。
立即升级到修复版本 20240918。如果无法升级,请限制对 / 目录的访问并实施严格的文件权限控制。
目前尚未公开发现针对 CVE-2024-6090 的利用代码,但已添加到 CISA KEV 目录中,表明其具有中等概率被利用。
请查阅 gaizhenbiao/chuanhuchatgpt 的官方 GitHub 仓库或相关安全公告。
上传你的 requirements.txt 文件,立即知道是否受影响。