CVE-2024-10902

Nome do Software Vulnerável e Versões Afetadas eosphoros-ai/db-gpt versão v0.6.0

Descrição O problema refere-se a Upload Arbitrário de Arquivos com Path Traversal na API web POST /v1/personal/agent/upload. Isso permite que atacantes não autorizados façam upload de arquivos arbitrários em qualquer local do sistema de arquivos da vítima, potencialmente levando à execução remota de código (RCE) através da escrita de arquivos maliciosos, como um init .py malicioso no diretório /site-packages/ do Python.

Recomendações Para a versão v0.6.0 do eosphoros-ai/db-gpt, considere desativar o endpoint da API POST /v1/personal/agent/upload até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso a diretórios sensíveis no sistema de arquivos para minimizar o risco de upload de arquivos maliciosos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.