CVE-2024-47171

Agnai is an artificial-intelligence-agnostic multi-user, mult-bot roleplaying chat system. A vulnerability in versions prior to 1.0.330 permits attackers to upload image files at attacker-chosen location on the server. This issue can lead to image file uploads to unauthorized or unintended directories, including overwriting of existing images which may be used for defacement. This does not affect `agnai.chat`, installations using S3-compatible storage, or self-hosting that is not publicly exposed. Version 1.0.330 fixes this vulnerability.
Configurations

Configuration 1 (hide)

cpe:2.3:a:agnai:agnai:*:*:*:*:*:*:*:*

History

30 Oct 2024, 20:46

Type Values Removed Values Added
CPE cpe:2.3:a:agnai:agnai:*:*:*:*:*:*:*:*
CWE CWE-22
First Time Agnai
Agnai agnai
References () https://github.com/agnaistic/agnai/blob/75abbd5b0f5e48ddecc805365cf1574d05ee1ce5/srv/api/character.ts#L140: - () https://github.com/agnaistic/agnai/blob/75abbd5b0f5e48ddecc805365cf1574d05ee1ce5/srv/api/character.ts#L140: - Patch
References () https://github.com/agnaistic/agnai/blob/75abbd5b0f5e48ddecc805365cf1574d05ee1ce5/srv/api/upload.ts#L55 - () https://github.com/agnaistic/agnai/blob/75abbd5b0f5e48ddecc805365cf1574d05ee1ce5/srv/api/upload.ts#L55 - Patch
References () https://github.com/agnaistic/agnai/security/advisories/GHSA-g54f-66mw-hv66 - () https://github.com/agnaistic/agnai/security/advisories/GHSA-g54f-66mw-hv66 - Vendor Advisory

30 Sep 2024, 12:46

Type Values Removed Values Added
Summary
  • (es) Agnai es un sistema de chat multiusuario y multibot que no depende de la inteligencia artificial. Una vulnerabilidad en las versiones anteriores a la 1.0.330 permite a los atacantes cargar archivos de imagen en la ubicación elegida por el atacante en el servidor. Este problema puede provocar que se carguen archivos de imagen en directorios no autorizados o no deseados, incluida la sobrescritura de imágenes existentes que pueden usarse para desfigurar el sistema. Esto no afecta a `agnai.chat`, a las instalaciones que usan almacenamiento compatible con S3 o al alojamiento propio que no está expuesto públicamente. La versión 1.0.330 corrige esta vulnerabilidad.

26 Sep 2024, 18:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-26 18:15

Updated : 2024-10-30 20:46


NVD link : CVE-2024-47171

Mitre link : CVE-2024-47171

CVE.ORG link : CVE-2024-47171


JSON object : View

Products Affected

agnai

  • agnai
CWE
CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

CWE-35

Path Traversal: '.../...//'