一、 漏洞 CVE-2024-7774 基础信息
漏洞标题
langchain-ai/langchainjs存在路径遍历漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在langchain-ai/langchainjs版本0.2.5的`getFullPath`方法中存在路径遍历漏洞。该漏洞允许攻击者在文件系统中的任意位置保存文件、覆盖现有文本文件、读取`.txt`文件以及删除文件。此漏洞是通过`setFileContent`、`getParsedFile`和`mdelete`方法利用的,这些方法未能正确地过滤用户输入。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Path Traversal in langchain-ai/langchainjs
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A path traversal vulnerability exists in the `getFullPath` method of langchain-ai/langchainjs version 0.2.5. This vulnerability allows attackers to save files anywhere in the filesystem, overwrite existing text files, read `.txt` files, and delete files. The vulnerability is exploited through the `setFileContent`, `getParsedFile`, and `mdelete` methods, which do not properly sanitize user input.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
路径遍历:’..filename’
来源:美国国家漏洞数据库 NVD
漏洞标题
LangChain.js 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LangChain.js是LangChain开源的一个构建上下文感知推理应用程序。 LangChain.js 0.2.5版本存在安全漏洞,该漏洞源于存在路径遍历漏洞,允许攻击者在文件系统的任何位置保存文件、覆盖现有文本文件、读取文件以及删除文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-7774 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-7774 的情报信息