CRITICAL🇬🇧 English

CVE-2024-6037

Tworzenie arbitralnych folderów na serwerze w ChuanhuChatGPT

CVSS 9.1v3.1pub. 2024-07-10upd. 2025-10-15

Podatność w ChuanhuChatGPT w wersji 20240410 umożliwia nieuwierzytelnionemu atakującemu tworzenie dowolnych folderów w dowolnej lokalizacji na serwerze, w tym w katalogu głównym. Może to prowadzić do wyczerpania zasobów, niedostępności serwera oraz potencjalnej utraty lub uszkodzenia danych.

Pokaż oryginał (EN)

A vulnerability in gaizhenbiao/chuanhuchatgpt version 20240410 allows an attacker to create arbitrary folders at any location on the server, including the root directory (C: dir). This can lead to uncontrolled resource consumption, resulting in resource exhaustion, denial of service (DoS), server unavailability, and potential data loss or corruption.

🤖 Analiza AI
Jak działa

Atakujący, bez konieczności uwierzytelnienia, może wysyłać żądania sieciowe powodujące tworzenie arbitralnych folderów w dowolnym miejscu systemu plików serwera — włącznie z katalogiem głównym (np. C:\). Brak odpowiedniej kontroli nad tworzeniem zasobów (CWE-770) pozwala na niekontrolowane zużycie zasobów systemowych. Masowe tworzenie folderów może doprowadzić do wyczerpania dostępnej przestrzeni dyskowej lub limitów systemu plików, skutkując odmową usługi (DoS).

Skutki

Atakujący może doprowadzić do wyczerpania zasobów serwera, jego niedostępności (DoS) oraz potencjalnej utraty lub uszkodzenia danych. Możliwe jest również zakłócenie integralności struktury systemu plików poprzez zapis w krytycznych lokalizacjach.

Mitygacja

Należy zaktualizować aplikację do wersji zawierającej poprawkę dostępną w repozytorium producenta (commit 71cb89c4c948dae5aaa0ae64b98f98e3965bdb37 na GitHub). Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

ChuanhuChatGPT (gaizhenbiao/chuanhuchatgpt) w wersji 20240410

Uwagi

Podatność została zgłoszona i upubliczniona za pośrednictwem platformy huntr.com. Poprawka dostępna jest jako konkretny commit w repozytorium GitHub producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Gaizhenbiao Chuanhuchatgpt

    APP
    Gaizhenbiao
    20240410
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2024-5982CRITICAL9.8PL ✓ten sam produkt

Path Traversal i RCE w ChuanhuChatGPT — niezabezpieczone dane wejściowe

CVE-2024-5823CRITICAL9.1PL ✓ten sam produkt

Nadpisanie plików konfiguracyjnych w ChuanhuChatGPT (file overwrite)

CVE-2024-6036CRITICAL9.1PL ✓ten sam produkt

Nieautoryzowany restart serwera w ChuanhuChatGPT poprzez endpoint /queue/join

CVE-2024-5822CRITICAL9.8PL ✓ten sam produkt

SSRF w interfejsie upload ChuanhuChatGPT — dostęp do zasobów wewnętrznych

CVE-2024-3234CRITICAL9.8PL ✓ten sam produkt

Path traversal w ChuanhuChatGPT — dostęp do poufnych plików