CVE-2024-7962

An arbitrary file read vulnerability exists in gaizhenbiao/chuanhuchatgpt version 20240628 due to insufficient validation when loading prompt template files. An attacker can read any file that matches specific criteria using an absolute path. The file must not have a .json extension and, except for the first line, every other line must contain commas. This vulnerability allows reading parts of format-compliant files, including code and log files, which may contain highly sensitive information such as account credentials.
Configurations

Configuration 1 (hide)

cpe:2.3:a:gaizhenbiao:chuanhuchatgpt:20240628:*:*:*:*:*:*:*

History

01 Nov 2024, 14:19

Type Values Removed Values Added
CPE cpe:2.3:a:gaizhenbiao:chuanhuchatgpt:2023-06-28:*:*:*:*:*:*:* cpe:2.3:a:gaizhenbiao:chuanhuchatgpt:20240628:*:*:*:*:*:*:*

31 Oct 2024, 16:14

Type Values Removed Values Added
First Time Gaizhenbiao chuanhuchatgpt
Gaizhenbiao
References () https://github.com/gaizhenbiao/chuanhuchatgpt/commit/2836fd1db3efcd5ede63c0e7fbbdf677730dbb51 - () https://github.com/gaizhenbiao/chuanhuchatgpt/commit/2836fd1db3efcd5ede63c0e7fbbdf677730dbb51 - Patch
References () https://huntr.com/bounties/83f0a8e1-490c-49e7-b334-02125ee0f1b1 - () https://huntr.com/bounties/83f0a8e1-490c-49e7-b334-02125ee0f1b1 - Exploit, Third Party Advisory
CPE cpe:2.3:a:gaizhenbiao:chuanhuchatgpt:2023-06-28:*:*:*:*:*:*:*
Summary
  • (es) Existe una vulnerabilidad de lectura de archivos arbitrarios en la versión 20240628 de gaizhenbiao/chuanhuchatgpt debido a una validación insuficiente al cargar archivos de plantilla de solicitud. Un atacante puede leer cualquier archivo que coincida con criterios específicos utilizando una ruta absoluta. El archivo no debe tener una extensión .json y, a excepción de la primera línea, todas las demás líneas deben contener comas. Esta vulnerabilidad permite leer partes de archivos que cumplen con el formato, incluidos archivos de código y de registro, que pueden contener información altamente confidencial, como credenciales de cuenta.
CWE CWE-22

29 Oct 2024, 13:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-29 13:15

Updated : 2024-11-01 14:19


NVD link : CVE-2024-7962

Mitre link : CVE-2024-7962

CVE.ORG link : CVE-2024-7962


JSON object : View

Products Affected

gaizhenbiao

  • chuanhuchatgpt
CWE
CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

CWE-29

Path Traversal: '\..\filename'