PT-2021-23110 · Rasa · Rasa
Rasa-Jmac
·
Publicado
2021-10-21
·
Atualizado
2021-10-27
·
CVE-2021-41127
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rasa anteriores à 2.8.10
Descrição
Existe uma vulnerabilidade na funcionalidade que carrega um arquivo
tar.gz de modelo treinado, permitindo que um agente mal-intencionado crie um arquivo model.tar.gz capaz de sobrescrever ou substituir arquivos de bot no diretório de bots. Esse problema permite que um invasor tenha capacidade de gravação arbitrária em diretórios específicos usando um arquivo compactado criado de forma maliciosa.Recomendações
Para versões anteriores à 2.8.10, atualize para o Rasa 2.8.10 para corrigir a vulnerabilidade.
Como solução alternativa temporária para usuários que não possam atualizar, certifique-se de que os usuários não enviem arquivos de modelo não confiáveis e restrinja o acesso à CLI ou ao endpoint da API onde um agente mal-intencionado possa ter como alvo uma instância do Rasa implantada.
Correção
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rasa