Eric-A

**Nome do Software Vulnerável e Versões Afetadas** zhayujie chatgpt-on-wechat versões anteriores a 2.0.9 **Description** Uma fraqueza no componente Bash Tool permite a injeção remota de comandos do sistema operacional. Isso ocorre na função ` get safety warning()` localizada no arquivo `agent/tools/bash/bash.py`. A injeção de comando de SO é uma falha que permite a um invasor executar comandos arbitrários do sistema operacional no servidor. **Recommendations** Atualize para a versão 2.0.9. Como medida paliativa temporária, restrinja o uso da função ` get safety warning()` no componente Bash Tool.

**Nome do Software Vulnerável e Versões Afetadas** AstrBot versão 4.23.6 **Description** Um problema de injeção remota existe na função ` sanitize prompt description()` dentro do arquivo `astrbot/core/skills/skill manager.py`. Esta falha permite que um invasor realize ataques de injeção remotamente. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o uso da função ` sanitize prompt description()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** AstrBotDevs AstrBot versão 4.23.6 **Description** Um problema existe na função ` normalize rw path()` dentro do arquivo `astrbot/core/tools/computer tools/fs.py`. Esta falha permite a autorização incorreta e pode ser acionada remotamente. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o uso da função ` normalize rw path()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** AstrBotDevs AstrBot versão 4.24.2 **Description** Existe uma falha de bypass de autorização que pode ser acionada remotamente. O problema ocorre na função `astr main agent()` localizada no arquivo `astrbot/core/astr main agent.py`, onde a manipulação do argumento `session id` permite que um invasor ignore as verificações de segurança. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à função `astr main agent()` ou monitore o argumento `session id` em busca de manipulações suspeitas.

**Nome do Software Vulnerável e Versões Afetadas** AstrBotDevs AstrBot versão 4.23.6 **Description** Uma falha no componente API Endpoint permite que um invasor remoto realize path traversal, que é uma técnica usada para acessar arquivos e diretórios armazenados fora da pasta raiz da web. Isso ocorre por meio da manipulação do argumento `Name` no endpoint '/api/skills/delete'. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Evite usar o parâmetro `Name` no endpoint '/api/skills/delete' até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** AstrBotDevs AstrBot versões anteriores a 4.23.6 **Descrição** Um problema de path traversal existe no componente File Upload Handler, especificamente na função `post file()` do arquivo `astrbot/dashboard/routes/chat.py`. Isso ocorre quando o argumento `filename` é manipulado, permitindo que um invasor remoto execute o ataque. **Recomendações** Atualizar para a versão 4.23.6.

**Nome do Software Vulnerável e Versões Afetadas** FlowiseAI Flowise versões anteriores a 3.0.13 **Descrição** Uma falha de segurança no componente API Response Handler permite a divulgação remota de informações. O problema reside na função `Login()` localizada no arquivo `packages/server/src/enterprise/services/account.service.ts`. Este ataque é caracterizado por alta complexidade e é difícil de explorar. **Recomendações** Atualize para uma versão posterior à 3.0.12. Como medida paliativa temporária, restrinja o acesso à função `Login()` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** FlowiseAI Flowise versões anteriores a 3.0.13 **Descrição** Uma fraqueza no componente User Controller Handler permite a ignorar a autorização remotamente. Isso ocorre por meio da manipulação dos argumentos `userId`, `organizationId`, `workspaceId` ou `email`. **Recomendações** Atualize o componente afetado para uma versão posterior a 3.0.12.

**Nome do Software Vulnerável e Versões Afetadas** FlowiseAI Flowise versões anteriores a 3.0.13 **Descrição** Um problema existe no componente 'Endpoint' dentro da função `verify()` do arquivo `packages/server/src/enterprise/services/account.service.ts`. A manipulação desta função pode levar à divulgação de informações. Esta falha permite a exploração remota, embora seja caracterizada por alta complexidade e dificuldade de exploração. **Recomendações** Atualize para uma versão posterior a 3.0.12. Como medida paliativa temporária, restrinja o acesso à função `verify()` no arquivo `packages/server/src/enterprise/services/account.service.ts` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** serge-chat versões anteriores a 1.4TB **Description** Uma falha no Model API Endpoint permite que atacantes remotos ignorem a autenticação. Este problema existe nas funções `download model` e `delete model` localizadas no arquivo 'api/src/serge/routers/model.py'. A exploração desta fraqueza pode levar a ações não autorizadas, incluindo a exclusão de modelos, e foi observada em incidentes do mundo real. **Recommendations** Atualize para uma versão posterior a 1.4TB. Como medida paliativa temporária, restrinja o acesso às funções `download model` e `delete model` no Model API Endpoint para minimizar o risco de exploração.