CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-43624

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

F5-TTS w wersjach do 1.1.20 zawiera podatność na przejście ścieżki w obsłudze Gradio, która pozwala nieautoryzowanym atakującym na zapis dowolnych plików. Atakujący mogą przekazywać niesanitizowane nazwy projektów, co umożliwia im nadpisanie podstawowego katalogu i tworzenie dowolnych katalogów z kontrolowanymi przez siebie treściami JSON.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zapis plików w dowolnym miejscu w systemie plików, co może prowadzić do wycieku danych lub złośliwego oprogramowania. Brak autoryzacji w tym procesie zwiększa potencjalne zagrożenie.

Recommendation

Zaleca się aktualizację F5-TTS do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy walidacji i sanitizacji danych wejściowych, aby zapobiec podobnym atakom w przyszłości.

Original NVD description (English source)

F5-TTS through version 1.1.20 contains a path traversal vulnerability in the finetune Gradio handlers that allows unauthenticated attackers to write arbitrary files by passing unsanitized user-supplied project names directly to os.path.join() without validating the resulting path stays within the intended base directory. Attackers can supply absolute path arguments such as /tmp/EVIL to override the base directory entirely and create arbitrary directories with attacker-controlled JSON content at any filesystem path writable by the server process.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS