Agnai 文件泄露漏洞:通过路径遍历的 JSON(CVE-2024-47170)
CVE编号
CVE-2024-47170利用情况
暂无补丁情况
N/A披露时间
2024-09-27漏洞描述
Agnai 是一个多用户、多机器人的角色扮演聊天系统,与人工智能无关。在版本低于 1.0.330 的系统中存在一个漏洞,攻击者可以读取服务器上的攻击者选择的任意 JSON 文件。这个问题可能导致敏感信息的未经授权访问和机密配置文件的暴露。这仅影响已启用 `JSON_STORAGE` 的安装,该安装仅限于本地或自助托管。版本 1.0.330 修复了这个问题。解决建议
"将组件 agnai 升级至 1.0.330 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/agnaistic/agnai/security/advisories/GHSA-h355-hm5h-cm8h |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-35 | 路径遍历:'.../...//' |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论