ГлавнаяБаза уязвимостей БДУ → BDU:2024-04519
10критическая

BDU:2024-04519 (CVE-2024-3584)

Уязвимость векторной поисковой системы на базе искусственного интеллекта Qdrant, связанная с недостаточной проверкой входных данных, позволяющая нарушителю записывать произвольные файлы
Опубликовано: 2024-06-14
Описание

Уязвимость векторной поисковой системы на базе искусственного интеллекта Qdrant связана с неверным ограничением имени пути к каталогу с ограниченным доступом в результате недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы путем изменения параметра name конечной точки /collections/{name}/snapshots/upload

Затрагиваемое ПО и версии
Qdrant (до 1.9.0)
Способ устранения

Использование рекомендаций:
https://github.com/qdrant/qdrant/commit/15479a45ffa3b955485ae516696f7e933a8cce8a
https://github.com/qdrant/qdrant/pull/3991
https://github.com/qdrant/qdrant/releases/tag/v1.9.0

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://huntr.com/bounties/5c7c82e2-4873-40b7-a5f3-0f4a42642f73https://vuldb.com/ru/?id.266595https://securityonline.info/cve-2024-3584-critical-path-traversal-flaw-exposes-qdrant-vector-database-to-remote-takeover/https://github.com/qdrant/qdrant/pull/3991
Проверьте безопасность своего сайта и почты → Полная проверка домена