CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-7957

Critical
Published: Translated: NVD NIST

Summary

W ZulipConnector w projekcie danswer-ai/danswer występuje podatność na nadpisywanie dowolnych plików, która dotyczy najnowszej wersji. Problem wynika z metody load_credentials, w której dane wejściowe kontrolowane przez użytkownika są używane do konstruowania ścieżek plików i zapisywania zawartości plików.

Risk Assessment

Atakujący mogą nadpisywać lub tworzyć dowolne pliki, jeśli w katalogu tymczasowym już istnieje katalog zuliprc-. Może to prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Recommendation

Zaleca się ograniczenie dostępu do metody load_credentials oraz walidację danych wejściowych, aby zapobiec nieautoryzowanemu nadpisywaniu plików.

Original NVD description (English source)

An arbitrary file overwrite vulnerability exists in the ZulipConnector of danswer-ai/danswer, affecting the latest version. The vulnerability arises from the load_credentials method, where user-controlled input for realm_name and zuliprc_content is used to construct file paths and write file contents. This allows attackers to overwrite or create arbitrary files if a zuliprc- directory already exists in the temporary directory.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS