PT-2025-30455 · Unknown · Transformeroptimus/Superagi
Geckosecurity
·
Publicado
2025-07-22
·
Atualizado
2025-07-22
·
CVE-2025-51475
CVSS v3.1
5.0
Média
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
TransformerOptimus SuperAGI versão 0.0.14
Descrição
Existe um problema de sobrescrita arbitrária de arquivos no componente
superagi.controllers.resources.upload. Isso permite que atacantes remotos sobrescrevam arquivos arbitrários enviando nomes de arquivos não sanitizados para o endpoint de upload de arquivos. O problema ocorre devido à manipulação inadequada de traversia de diretório em os.path.join() e à falta de validação de caminho em get root input dir().Recomendações
TransformerOptimus SuperAGI versão 0.0.14: Implemente validação de caminho e sanitização robustas para nomes de arquivos enviados através do endpoint de upload de arquivos. Garanta que
os.path.join() seja usado corretamente para prevenir vulnerabilidades de traversia de diretório.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Transformeroptimus/Superagi