Aplikacja gaizhenbiao/ChuanhuChatGPT jest podatna na atak typu path traversal wynikający z użycia przestarzałej wersji komponentu gradio. Podatność umożliwia nieuwierzytelnionemu atakującemu ominięcie ograniczeń dostępu i odczyt poufnych plików, w tym kluczy API.
▸ Pokaż oryginał (EN)
The gaizhenbiao/chuanhuchatgpt application is vulnerable to a path traversal attack due to its use of an outdated gradio component. The application is designed to restrict user access to resources within the `web_assets` folder. However, the outdated version of gradio it employs is susceptible to path traversal, as identified in CVE-2023-51449. This vulnerability allows unauthorized users to bypass the intended restrictions and access sensitive files, such as `config.json`, which contains API keys. The issue affects the latest version of chuanhuchatgpt prior to the fixed version released on 20240305.
Aplikacja zakłada, że użytkownicy mają dostęp wyłącznie do zasobów znajdujących się w folderze `web_assets`. Wykorzystywana wersja biblioteki gradio jest jednak podatna na path traversal (zidentyfikowany wcześniej jako CVE-2023-51449), co pozwala na wyjście poza ten katalog. Atakujący bez żadnego uwierzytelnienia może spreparować odpowiednie żądanie HTTP i uzyskać dostęp do dowolnych plików serwera, np. pliku `config.json` zawierającego klucze API.
Nieuwierzytelniony atakujący może odczytać poufne pliki konfiguracyjne aplikacji, w tym klucze API, co może prowadzić do przejęcia kont, nieautoryzowanego korzystania z usług AI oraz dalszego naruszenia bezpieczeństwa środowiska.
Należy zaktualizować aplikację ChuanhuChatGPT do wersji wydanej po 2024-03-05, w której zastosowano poprawkę dostępną w commicie 6b8f7db347b390f6f8bd07ea2a4ef01a47382f00. Zaleca się również wymianę wszystkich kluczy API przechowywanych w pliku `config.json`, które mogły zostać ujawnione.
Wszystkie wersje aplikacji gaizhenbiao/ChuanhuChatGPT poprzedzające wersję naprawioną wydaną w dniu 2024-03-05
Podatność jest pochodną wcześniej opisanej luki CVE-2023-51449 w komponencie gradio. Data wydania poprawki wskazana w opisie EN: 2024-03-05.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGaizhenbiao Chuanhuchatgpt
APPGaizhenbiao< 20240305
Powiązane podatności
Path Traversal i RCE w ChuanhuChatGPT — niezabezpieczone dane wejściowe
Nadpisanie plików konfiguracyjnych w ChuanhuChatGPT (file overwrite)
Tworzenie arbitralnych folderów na serwerze w ChuanhuChatGPT
Nieautoryzowany restart serwera w ChuanhuChatGPT poprzez endpoint /queue/join
SSRF w interfejsie upload ChuanhuChatGPT — dostęp do zasobów wewnętrznych