Katalog CVE

CVE-2024-7957

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W ZulipConnector w projekcie danswer-ai/danswer występuje podatność na nadpisywanie dowolnych plików, która dotyczy najnowszej wersji. Problem wynika z metody load_credentials, w której dane wejściowe kontrolowane przez użytkownika są używane do konstruowania ścieżek plików i zapisywania zawartości plików.

Ocena ryzyka

Atakujący mogą nadpisywać lub tworzyć dowolne pliki, jeśli w katalogu tymczasowym już istnieje katalog zuliprc-. Może to prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się ograniczenie dostępu do metody load_credentials oraz walidację danych wejściowych, aby zapobiec nieautoryzowanemu nadpisywaniu plików.

Oryginalny opis (angielski, źródło NVD)

An arbitrary file overwrite vulnerability exists in the ZulipConnector of danswer-ai/danswer, affecting the latest version. The vulnerability arises from the load_credentials method, where user-controlled input for realm_name and zuliprc_content is used to construct file paths and write file contents. This allows attackers to overwrite or create arbitrary files if a zuliprc- directory already exists in the temporary directory.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS