CVE-2024-10833

Nome do Software Vulnerável e Versões Afetadas eosphoros-ai/db-gpt versão 0.6.0

Descrição O problema decorre de uma vulnerabilidade de gravação arbitrária de arquivos através da API de conhecimento, especificamente devido à suscetibilidade do endpoint de upload de arquivos à travessia de caminho absoluto. Isso permite que atacantes gravem arquivos em locais arbitrários no servidor alvo. O parâmetro doc file.filename é controlável pelo usuário, o que possibilita a construção de caminhos absolutos, levando a esta vulnerabilidade.

Recomendações Para o eosphoros-ai/db-gpt versão 0.6.0, considere restringir o acesso ao endpoint da API de conhecimento para minimizar o risco de exploração. Como solução temporária, evite utilizar o parâmetro doc file.filename no endpoint da API afetado até que o problema seja resolvido.