Stable-diffusion-webui 中的文件写入有限 - GHSL-2024-010 (CVE-2024-31462)

admin
admin
admin
0
文章
0
评论
2024-05-21 19:10:35 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Stable-diffusion-webui 中的文件写入有限 - GHSL-2024-010 (CVE-2024-31462)

CVE编号

CVE-2024-31462

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-13
漏洞描述
stable-diffusion-webui是一个使用Gradio库实现的Stable Diffusion的Web界面。Stable-diffusion-webui 1.7.0存在一个受限文件写入漏洞,影响Windows系统。modules/ui_extensions.py中的create_ui方法(备份/恢复选项卡)在第653行将用户输入保存到config_save_name变量中。稍后这个用户输入被用于save_config_state方法,并用于在第65行创建一个文件路径,之后在第67行打开进行写入,导致在Windows系统上存在一个受限文件写入漏洞。该问题可能导致有限文件写入,允许在Web服务器具有访问权限的任何地方写入json文件。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/AUTOMATIC1111/stable-diffusion-webui/blob/cf2772fab0af5573...
https://github.com/AUTOMATIC1111/stable-diffusion-webui/blob/cf2772fab0af5573...
https://github.com/AUTOMATIC1111/stable-diffusion-webui/blob/cf2772fab0af5573...
https://github.com/AUTOMATIC1111/stable-diffusion-webui/blob/cf2772fab0af5573...
https://github.com/AUTOMATIC1111/stable-diffusion-webui/blob/cf2772fab0af5573...
https://github.com/AUTOMATIC1111/stable-diffusion-webui/blob/v1.7.0/modules/u...
https://github.com/AUTOMATIC1111/stable-diffusion-webui/commit/d9708c92b44489...
https://github.com/AUTOMATIC1111/stable-diffusion-webui/discussions/15461
https://securitylab.github.com/advisories/GHSL-2024-010_stable-diffusion-webui
https://securitylab.github.com/advisories/GHSL-2024-010_stable-diffusion-webui/
CVSS3评分 6.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 低
  • 保密性 低
  • 完整性 低
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-3027利用情况 暂无补丁情况 N/A披露时间 2024-04-13漏洞描述WordPress的Smart Slider
05-210 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-1957利用情况 暂无补丁情况 N/A披露时间 2024-04-13漏洞描述WordPress插件GiveWP - 捐赠
05-210 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0