MEDIUMCVE-2026-5597CVSS 6.3

griptape-ai 漏洞 CVE-2026-5597：路径遍历 (6.3 MEDIUM)

Q: CVE-2026-5597 是什么 — griptape-ai 中的 Path Traversal？

路径遍历是一种漏洞类型，允许攻击者使用诸如`../`之类的序列在文件路径中访问预期目录之外的文件和目录。

平台

python

组件

griptape-ai

修复版本

0.19.5

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-5597 描述了 griptape-ai griptape 0.19.4 中的一个安全漏洞。该漏洞源于 ComputerTool 组件的 griptape\tools\computer\tool.py 文件中参数 filename 的路径遍历。攻击者可以通过操纵该参数来访问系统文件。该漏洞允许远程攻击，并且已公开漏洞。供应商未对此漏洞进行响应。

影响与攻击场景

griptape-ai griptape 0.19.4版本中发现了一个路径遍历（Path Traversal）漏洞。此漏洞影响了griptape\tools\computer\tool.py文件中的ComputerTool组件的未知部分。攻击者可以通过操纵filename参数来访问预期目录之外的文件和目录，从而可能损害系统完整性。该漏洞的严重程度评分为CVSS 6.3，表明存在中等风险。远程利用是可能的，从而扩大了攻击面。漏洞利用程序的发布表明该漏洞容易被利用。供应商对早期披露的未响应令人担忧。

利用背景

该漏洞是通过操纵ComputerTool中的filename参数来利用的。攻击者可以使用诸如../之类的序列来导航到预期目录之外并访问系统上的任意文件。利用远程性质意味着攻击者可以从任何具有griptape应用程序访问权限的位置利用此漏洞。漏洞利用程序的公开可用性进一步促进了利用。供应商的未响应加剧了情况，使用户没有官方解决方案。

哪些人处于风险中翻译中…

Organizations deploying griptape-ai in production environments, particularly those relying on the ComputerTool component for file processing, are at risk. Systems with weak input validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same griptape-ai instance should be considered high-priority targets.

检测步骤翻译中…

• python / server:

import os
import sys

def check_filename(filename):
    # Basic check - prevent '..' sequences
    if '..' in filename:
        return False
    return True

# Example usage (replace with actual input source)
filename = sys.argv[1]
if not check_filename(filename):
    print("Invalid filename detected")

• linux / server:

# Monitor access logs for suspicious file access attempts
grep -i "../" /var/log/griptape-ai/access.log

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.02% (6% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件griptape-ai

供应商griptape-ai

影响范围修复版本

0.19.4 – 0.19.40.19.5

弱点分类 (CWE)

CWE-22

时间线

已保留2026-04-05
发布日期2026-04-05
修改日期2026-04-06
EPSS 更新日期2026-04-13

未修复 — 披露已49天

缓解措施和替代方案

由于供应商没有提供补丁，因此缓解措施侧重于预防措施。强烈建议避免使用griptape 0.19.4版本。如果必须使用griptape，请考虑升级到较新版本（如果可用）或实施严格的访问控制以限制对敏感文件的访问。严格验证用户输入，尤其是filename参数，对于防止路径遍历攻击至关重要。监控系统活动以查找可疑模式也有助于检测和响应潜在攻击。实施限制应用程序权限的安全策略是一种推荐的做法。

修复方法翻译中…

Actualice a una versión corregida de griptape-ai.  La vulnerabilidad de path traversal en el archivo tool.py permite la ejecución remota de código.  Verifique las fuentes oficiales de griptape-ai para obtener instrucciones de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5597 是什么 — griptape-ai 中的 Path Traversal？

路径遍历是一种漏洞类型，允许攻击者使用诸如../之类的序列在文件路径中访问预期目录之外的文件和目录。

griptape-ai 中的 CVE-2026-5597 是否会影响我？

供应商的未响应表明对安全性的承诺不足，并且用户没有官方修复或支持来减轻漏洞。

如何修复 griptape-ai 中的 CVE-2026-5597？

如果绝对必须使用版本0.19.4，请实施严格的访问控制，验证用户输入，并监控系统活动以查找可疑模式。

CVE-2026-5597 是否正在被积极利用？

根据您的需求，可能存在其他工具或库，它们提供类似的功能，而没有路径遍历漏洞。

在哪里可以找到 griptape-ai 关于 CVE-2026-5597 的官方安全通告？

始终验证用户输入，实施严格的访问控制，使用文件路径的白名单，并保持软件更新。