一、 漏洞 CVE-2024-7962 基础信息
漏洞标题
Chuanhuchatgpt任意文件读取漏洞
来源:AIGC 神龙大模型
漏洞描述信息
gaizhenbiao/chuanhuchatgpt 版本 20240628 存在任意文件读取漏洞。该漏洞源于在加载提示模板文件时验证不足。攻击者可以使用绝对路径读取符合特定条件的任意文件。这些文件不能具有 .json 扩展名,并且除了第一行外,每一行都必须包含逗号。此漏洞允许读取符合格式要求的文件部分,包括代码文件和日志文件,这些文件可能包含账户凭证等高度敏感信息。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Arbitrary File Read via Insufficient Validation in gaizhenbiao/chuanhuchatgpt
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An arbitrary file read vulnerability exists in gaizhenbiao/chuanhuchatgpt version 20240628 due to insufficient validation when loading prompt template files. An attacker can read any file that matches specific criteria using an absolute path. The file must not have a .json extension and, except for the first line, every other line must contain commas. This vulnerability allows reading parts of format-compliant files, including code and log files, which may contain highly sensitive information such as account credentials.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
路径遍历:’..filename’
来源:美国国家漏洞数据库 NVD
漏洞标题
ChuanhuChatGPT 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ChuanhuChatGPT是Chuan Hu个人开发者的一款应用程序。为 ChatGPT 等多种 LLM 提供了一个轻快好用的 Web 图形界面和众多附加功能 ChuanhuChatGPT 20240628版本存在安全漏洞,该漏洞源于加载提示模板文件时验证不足,存在任意文件读取漏洞,允许读取符合格式的文件的部分内容,包括代码和日志文件,其中可能包含高度敏感的信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-7962 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-7962 的情报信息
-
-
标题: bugfix: Added additional checks when loading template · GaiZhenbiao/ChuanhuChatGPT@2836fd1 · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-7962