Уязвимость векторной поисковой системы на базе искусственного интеллекта Qdrant связана с неверным ограничением имени пути к каталогу с ограниченным доступом в результате недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы путем изменения параметра name конечной точки /collections/{name}/snapshots/upload
Использование рекомендаций:
https://github.com/qdrant/qdrant/commit/15479a45ffa3b955485ae516696f7e933a8cce8a
https://github.com/qdrant/qdrant/pull/3991
https://github.com/qdrant/qdrant/releases/tag/v1.9.0
| Балл | 10 — критическая опасность |