Podatność w aplikacji LangChain-ChatGLM-Webui (commit ef829) pozwala nieuwierzytelnionym atakującym na dowolne przeglądanie i pobieranie wrażliwych plików. Wysoki wynik CVSS 9.8 wynika z braku wymagań co do uwierzytelnienia i dostępności przez sieć.
▸ Pokaż oryginał (EN)
Insecure permissions in LangChain-ChatGLM-Webui commit ef829 allows attackers to arbitrarily view and download sensitive files via supplying a crafted request.
Błąd polega na nieprawidłowo skonfigurowanych uprawnieniach dostępu do zasobów (CWE-732 — Incorrect Permission Assignment for Critical Resource). Atakujący wysyła specjalnie spreparowane żądanie HTTP, które omija mechanizmy kontroli dostępu. W rezultacie możliwe jest odczytanie i pobranie plików, do których dostęp powinien być ograniczony.
Atakujący może bez uwierzytelnienia uzyskać dostęp do wrażliwych plików aplikacji, co prowadzi do ujawnienia potencjalnie poufnych danych (np. konfiguracji, kluczy API, danych użytkowników). W połączeniu z pełną triadą CIA (C:H/I:H/A:H) skutki mogą obejmować naruszenie poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium GitHub projektu (https://github.com/X-D-Lab/LangChain-ChatGLM-Webui) w celu uzyskania zaktualizowanej wersji. Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci lub zastosowanie reguł firewall blokujących dostęp z zewnątrz.
X-D Lab LangChain-ChatGLM-Webui w wersji odpowiadającej commit ef829
Dowód koncepcji (PoC) exploit jest publicznie dostępny w serwisie GitHub Gist pod adresem wskazanym w referencjach, co znacząco podnosi ryzyko wykorzystania podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HX D Lab Langchain Chatglm Webui
APPX-D Lab2023-05-23