CVE-2024-6255 是 gaizhenbiao/chuanhuchatgpt 中 JSON 文件处理环节存在的一个路径遍历漏洞。由于文件路径验证不当,攻击者可以删除服务器上的任何 JSON 文件,包括重要的配置信息。该漏洞影响所有版本小于等于最新版本。建议尽快更新到修复版本或采取缓解措施。
该路径遍历漏洞允许未经授权的用户删除服务器上的任何 JSON 文件。攻击者可以利用此漏洞删除 config.json 和 dsconfigchatbot.json 等关键配置文件,从而导致 chuanhuchatgpt 应用程序无法正常运行。更严重的后果包括系统设置被篡改,甚至可能导致数据丢失或损坏。攻击者可以利用此漏洞完全控制应用程序的配置,并可能进一步破坏系统安全。
该漏洞已于 2024 年 7 月 31 日公开披露。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易于利用性,存在被攻击者的利用的可能性。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Organizations and individuals deploying chuanhuchatgpt, particularly those with publicly accessible instances or weak access controls, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to impact other users on the same server.
• python / server:
find /path/to/chuanhuchatgpt -name '*.json' -type f -mmin -60 # Check for recently modified JSON files• generic web:
curl -I 'http://your-chuanhuchatgpt-server/../../../../etc/passwd' # Attempt directory traversaldisclosure
漏洞利用状态
EPSS
3.86% (88% 百分位)
CISA SSVC
CVSS 向量
由于目前没有提供修复版本,建议采取以下缓解措施。首先,限制对 JSON 文件存储目录的访问权限,仅允许授权用户进行读写操作。其次,实施严格的文件路径验证,确保用户提供的路径不包含任何恶意字符或目录遍历指令。可以使用白名单机制,仅允许访问预定义的合法文件路径。最后,定期监控系统日志,检测任何异常的文件删除或修改操作。在更新到修复版本后,请确认配置文件的完整性,并验证应用程序是否能够正常运行。
Actualice a una versión parcheada que valide correctamente las rutas de los archivos JSON. Si no hay una versión disponible, revise y corrija el código para asegurar que las rutas de los archivos estén validadas y que no permitan el recorrido de directorios. Implemente controles de acceso adecuados para restringir el acceso a los archivos de configuración críticos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-6255 是 gaizhenbiao/chuanhuchatgpt 中 JSON 文件处理环节存在的一个路径遍历漏洞,允许攻击者删除服务器上的任何 JSON 文件。
如果您正在使用 chuanhuchatgpt 的版本小于等于最新版本,则可能受到此漏洞的影响。
由于目前没有提供修复版本,建议采取缓解措施,例如限制文件访问权限和实施严格的文件路径验证。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易于利用性,存在被攻击者的利用的可能性。
请访问 gaizhenbiao/chuanhuchatgpt 的官方 GitHub 仓库或相关安全公告页面,以获取更多信息。
上传你的 requirements.txt 文件,立即知道是否受影响。