Agnai 存在利用目录遍历通过 JS 上传进行远程代码执行的漏洞 (CVE-2024-47169)
CVE编号
CVE-2024-47169利用情况
暂无补丁情况
N/A披露时间
2024-09-27漏洞描述
Agnai是一个多用户、多机器人的角色扮演聊天系统,与人工智能无关。在版本低于1.0.330的系统中存在一个漏洞,攻击者可以将任意文件上传到服务器上的任意位置,包括JavaScript文件,从而在这些文件中执行命令。这个问题可能导致未经授权的访问、服务器完全被攻击者控制、数据泄露和其他关键的安全威胁。此漏洞不影响`agnai.chat`、使用S3兼容存储的安装或未公开暴露的自我托管版本。公开托管且没有使用S3兼容存储的版本会受到此漏洞的影响。版本1.0.330修复了这个漏洞。解决建议
"将组件 agnai 升级至 1.0.330 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/agnaistic/agnai/security/advisories/GHSA-mpch-89gm-hm83 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-35 | 路径遍历:'.../...//' |
| CWE-434 | 危险类型文件的不加限制上传 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论