CVE-2024-10830

Nome do Software Vulnerável e Versões Afetadas eosphoros-ai/db-gpt versão 0.6.0

Descrição Existe uma vulnerabilidade de Path Traversal, permitindo que um atacante exclua qualquer arquivo no servidor manipulando o parâmetro file key no endpoint da API "/v1/resource/file/delete". O parâmetro file key não é devidamente sanitizado, permitindo que um atacante especifique caminhos de arquivo arbitrários. Se o arquivo especificado existir, a aplicação o excluirá.

Recomendações Para a versão 0.6.0, como medida paliativa temporária, considere restringir o acesso ao endpoint da API "/v1/resource/file/delete" até que uma correção esteja disponível. Além disso, evite utilizar o parâmetro file key no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.