Arashimuo

Nome do Software Vulnerável e Versões Afetadas: eosphoros-ai db-gpt versões até a 0.7.2 Descrição: Foi identificada uma vulnerabilidade crítica, afetando a função `import flow` do arquivo `/api/v2/serve/awel/flow/import`. A manipulação do argumento `File` resulta em path traversal, permitindo ataques remotos. Recomendações: Para versões até a 0.7.2, considere desativar a função `import flow` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao endpoint `/api/v2/serve/awel/flow/import` para minimizar o risco de exploração. Evite utilizar o argumento `File` no endpoint da API afetado até que a questão seja resolvida.

Nome do Software Vulnerável e Versões Afetadas: PySpur-Dev pyspur versões até a 0.1.18 Descrição: Um problema crítico foi encontrado na função `SingleLLMCallNode` do arquivo `backend/pyspur/nodes/llm/single llm call.py` do componente Jinja2 Template Handler. A manipulação do argumento `user message` resulta na neutralização inadequada de elementos especiais utilizados em um mecanismo de template. É possível executar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: Para as versões do PySpur-Dev pyspur até a 0.1.18, como solução temporária, considere desativar a função `SingleLLMCallNode` até que uma correção esteja disponível. Restrinja o acesso ao Jinja2 Template Handler para minimizar o risco de exploração. Evite utilizar o argumento `user message` no mecanismo de template afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenBMB XAgent versões até a 1.0.0 **Descrição** Uma vulnerabilidade crítica foi identificada no OpenBMB XAgent, afetando uma funcionalidade desconhecida do arquivo /conv/community, o que resulta em path traversal. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para as versões do OpenBMB XAgent até a 1.0.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** xataio Xata Agent versions up to 0.3.0 **Description** A path traversal issue has been identified, affecting the `GET` function of the file `apps/dbagent/src/app/api/evals/route.ts`. The manipulation of the argument passed leads to this issue. **Recommendations** For xataio Xata Agent versions up to 0.3.0, upgrade to version 0.3.1 to address this issue.

**Nome do Software Vulnerável e Versões Afetadas** xlang-ai OpenAgents versões até ff2e46440699af1324eb25655b622c4a131265bb **Descrição** Um problema crítico foi encontrado na função `create upload file` do arquivo `backend/api/file.py`, resultando em path traversal. O exploit foi divulgado ao público e pode ser utilizado. O produto utiliza entrega contínua com rolling releases e, portanto, não há detalhes de versão dos lançamentos afetados ou atualizados disponíveis. **Recomendações** Como solução temporária (workaround), considere desativar a função `create upload file` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TransformerOptimus SuperAGI versões até a 0.0.14 **Descrição** Um problema crítico foi encontrado no componente EmailToolKit, especificamente na função `download attachment` do arquivo SuperAGI/superagi/helper/read email.py. A manipulação do argumento `filename` resulta em path traversal. O problema foi divulgado publicamente e pode ser explorado. **Recomendações** Para as versões do TransformerOptimus SuperAGI até a 0.0.14, considere desabilitar a função `download attachment` como uma medida de contorno temporária até que um patch esteja disponível. Restrinja o acesso ao componente EmailToolKit para minimizar o risco de exploração. Evite usar o argumento `filename` na função afetada até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do frdel Agent-Zero até a 0.8.4 **Descrição** Um problema de path traversal afeta a função `image get` no arquivo `/python/api/image get.py`, causado pela manipulação do argumento `path`. **Recomendações** Para as versões do frdel Agent-Zero até a 0.8.4, atualize para a versão 0.8.4.1 para corrigir este problema. Como medida temporária, considere restringir o acesso à função `image get` até que a atualização seja aplicada.