CVE-2024-6483

Nome do Software Vulnerável e Versões Afetadas aimhubio/aim versão 3.19.3

Descrição Uma vulnerabilidade no endpoint "runs/delete-batch" permite a exclusão arbitrária de arquivos ou diretórios através de path traversal. O endpoint não mitiga path traversal ao lidar com run-names especificados pelo usuário, que são usados para especificar arquivos de log/metadados para exclusão. Isso pode ser explorado para excluir arquivos ou diretórios arbitrários, potencialmente causando negação de serviço ou perda de dados.

Recomendações Para o aimhubio/aim versão 3.19.3, considere desabilitar o endpoint runs/delete-batch até que um patch esteja disponível para prevenir a exclusão arbitrária de arquivos ou diretórios. Restrinja o acesso ao endpoint para minimizar o risco de exploração. Evite utilizar run-names especificados pelo usuário no endpoint afetado até que o problema seja resolvido.