Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Agnai (CVE-2024-47171)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
26/09/2024
Última modificación:
30/10/2024

Descripción

Agnai es un sistema de chat multiusuario y multibot que no depende de la inteligencia artificial. Una vulnerabilidad en las versiones anteriores a la 1.0.330 permite a los atacantes cargar archivos de imagen en la ubicación elegida por el atacante en el servidor. Este problema puede provocar que se carguen archivos de imagen en directorios no autorizados o no deseados, incluida la sobrescritura de imágenes existentes que pueden usarse para desfigurar el sistema. Esto no afecta a `agnai.chat`, a las instalaciones que usan almacenamiento compatible con S3 o al alojamiento propio que no está expuesto públicamente. La versión 1.0.330 corrige esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:agnai:agnai:*:*:*:*:*:*:*:* 1.0.330 (excluyendo)