CRITICAL🇬🇧 English

CVE-2024-10833

Arbitrary file write przez path traversal w DB-GPT (knowledge API)

CVSS 9.1v3.0pub. 2025-03-20upd. 2025-10-15

DB-GPT w wersji 0.6.0 zawiera krytyczną podatność path traversal w API do przesyłania plików wiedzy, umożliwiającą zapisywanie plików w dowolnym miejscu na serwerze. Brak walidacji parametru nazwy pliku pozwala atakującemu na zapis danych poza dozwolonym katalogiem.

Pokaż oryginał (EN)

eosphoros-ai/db-gpt version 0.6.0 is vulnerable to an arbitrary file write through the knowledge API. The endpoint for uploading files as 'knowledge' is susceptible to absolute path traversal, allowing attackers to write files to arbitrary locations on the target server. This vulnerability arises because the 'doc_file.filename' parameter is user-controllable, enabling the construction of absolute paths.

🤖 Analiza AI
Jak działa

Endpoint API służący do przesyłania plików jako 'knowledge' nie waliduje poprawnie parametru 'doc_file.filename', który jest w pełni kontrolowany przez użytkownika. Atakujący może podać ścieżkę bezwzględną (absolute path) jako nazwę pliku, co skutkuje zapisem przesłanego pliku w dowolnej lokalizacji systemu plików serwera. Podatność klasyfikowana jest jako absolute path traversal (CWE-36) — system akceptuje absolutne ścieżki zamiast ograniczać zapis do wyznaczonego katalogu.

Skutki

Atakujący bez uwierzytelnienia może nadpisać dowolny plik na serwerze lub umieścić złośliwy plik w krytycznym miejscu systemu, co może prowadzić do przejęcia kontroli nad serwerem (np. przez nadpisanie konfiguracji, skryptów startowych lub plików wykonywalnych) oraz trwałego naruszenia integralności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do endpointów API knowledge wyłącznie do zaufanych użytkowników oraz wdrożenie walidacji nazw przesyłanych plików po stronie serwera (odrzucanie ścieżek bezwzględnych i sekwencji path traversal).

Kogo dotyczy

eosphoros-ai/DB-GPT wersja 0.6.0

Uwagi

Podatność zgłoszona poprzez platformę huntr.com (bounty dc58e981-e325-4c11-b4e1-1095890fd15a). Wektor ataku sieciowy bez wymaganego uwierzytelnienia (PR:N, UI:N) znacząco podnosi ryzyko eksploatacji.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Dbgpt Db Gpt

    APP
    Dbgpt
    0.6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-10901CRITICAL9.8PL ✓ten sam produkt

Dowolne wykonanie kodu przez niekontrolowane SQL API w db-gpt

CVE-2024-10831CRITICAL9.1PL ✓ten sam produkt

Absolute Path Traversal w DB-GPT — zapis plików w dowolnej lokalizacji

CVE-2024-10834CRITICAL9.1PL ✓ten sam produkt

Dowolny zapis plików w db-gpt przez podatność path traversal w RAG-knowledge

CVE-2024-10835CRITICAL9.8PL ✓ten sam produkt

SQL Injection i zapis plików w db-gpt umożliwiające RCE

CVE-2024-10902CRITICAL9.8PL ✓ten sam produkt

Arbitrary File Upload z Path Traversal w db-gpt — możliwy RCE

CVE-2024-10833 — Arbitrary file write przez path traversal w DB-GPT (knowledge API) — CRITICAL 9.1 | CVEbaza.pl