漏洞信息
# 路径穿越漏洞存在于 gaizhenbiao/chuanhuchatgpt
## 漏洞概述
gaizhenbiao/chuanhuchatgpt应用程序中存在路径穿越漏洞,原因是其使用了过时的gradio组件。该应用程序旨在限制用户访问`web_assets`文件夹内的资源。然而,所使用的过时gradio版本易受路径穿越攻击,导致未经授权的用户可以访问敏感文件,如包含API密钥的`config.json`。
## 影响版本
- 影响版本:截至20240305发布的修复版本前的最新版本。
## 漏洞细节
- 漏洞类型:路径穿越
- 漏洞来源:CVE-2023-51449
- 不安全组件:过时的gradio版本
## 漏洞影响
- 允许未经授权的用户访问敏感文件,如`config.json`,从而暴露包含在内的API密钥。
- 突破了原设界限,访问`web_assets`文件夹之外的资源。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Path Traversal in gaizhenbiao/chuanhuchatgpt
漏洞描述信息
The gaizhenbiao/chuanhuchatgpt application is vulnerable to a path traversal attack due to its use of an outdated gradio component. The application is designed to restrict user access to resources within the `web_assets` folder. However, the outdated version of gradio it employs is susceptible to path traversal, as identified in CVE-2023-51449. This vulnerability allows unauthorized users to bypass the intended restrictions and access sensitive files, such as `config.json`, which contains API keys. The issue affects the latest version of chuanhuchatgpt prior to the fixed version released on 20240305.
CVSS信息
N/A
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
ChuanhuChatGPT 路径遍历漏洞
漏洞描述信息
ChuanhuChatGPT是为ChatGPT/ChatGLM/LLaMA/StableLM/MOSS等多种LLM提供了一个轻快好用的Web图形界面。 ChuanhuChatGPT 存在路径遍历漏洞,该漏洞源于使用了过时的 gradio 组件而容易受到路径遍历攻击。
CVSS信息
N/A
漏洞类别
路径遍历