HKUDS LightRAG حتى 1.3.8 File Upload document_routes.py upload_to_input_dir file.filename اجتياز الدليل
الملخص
ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في HKUDS LightRAG حتى 1.3.8. المشكلة أثرت على الدالة upload_to_input_dir من الملف lightrag/api/routers/document_routes.py من العنصر File Upload. عند التلاعب بالوسيط file.filename ينتج اجتياز الدليل.
تم تسمية الثغرة بأسمCVE-2025-6773. الهجوم لايمكن أن يتم من دون وصول محلي على نفس عنوان بروتوكول الإنترنت. لا يتوفر أي استغلال.
ننصح بـ تنصيب باتش لإصلاح هذه المشكلة.
التفاصيل
ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في HKUDS LightRAG حتى 1.3.8. المشكلة أثرت على الدالة upload_to_input_dir من الملف lightrag/api/routers/document_routes.py من العنصر File Upload. عند التلاعب بالوسيط file.filename ينتج اجتياز الدليل. استخدام CWE للإعلان عن المشكلة يؤدي إلى CWE-22. تم نشر الضعف كـ 1692. يمكن تحميل الاستشارة من هنا github.com.
تم تسمية الثغرة بأسمCVE-2025-6773. الهجوم لايمكن أن يتم من دون وصول محلي على نفس عنوان بروتوكول الإنترنت. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال. اسلوب الهجوم المستخدم يسمىT1006 بحسب مشروع ميتري اتاك.
تم أعتبراها على أنها غير معرفة.
أسم الباتش التصحيحي هو60777d535b719631680bcf5d0969bdef79ca4eaf. التحديث متوفر للتنزيل على github.com. ننصح بـ تنصيب باتش لإصلاح هذه المشكلة.
منتج
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔒VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.3VulDB الدرجة المؤقتة للميتا: 5.1
VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 5.1
VulDB متجه: 🔒
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔒
VulDB الدرجة المؤقتة: 🔒
VulDB الاعتمادية: 🔍
استغلال
الفئة: اجتياز الدليلCWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒
ملموس: جزئي
محلي: نعم
عن بُعد: لا
التوفر: 🔒
الحالة: غير معرفة
EPSS Score: 🔒
EPSS Percentile: 🔒
تقدير السعر: 🔍
تقدير السعر الحالي: 🔒
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: تصحيحالحالة: 🔍
زمن الهجوم الفوري: 🔒
تصحيح: 60777d535b719631680bcf5d0969bdef79ca4eaf
الجدول الزمني
27/06/2025 تم نشر الاستشارة27/06/2025 تم إنشاء إدخال VulDB
28/06/2025 آخر تحديث في VulDB
المصادر
منتج: github.comاستشارة: 1692
الحالة: مؤكد
تأكيد: 🔒
CVE: CVE-2025-6773 (🔒)
GCVE (CVE): GCVE-0-2025-6773
GCVE (VulDB): GCVE-100-314089
EUVD: 🔒
إدخال
تم الإنشاء: 27/06/2025 12:27 PMتم التحديث: 28/06/2025 04:58 AM
التغييرات: 27/06/2025 12:27 PM (59), 28/06/2025 04:58 AM (1)
كامل: 🔍
المقدم: Hannibal0x
Cache ID: 216::103
إرسال
تمت الموافقة
- إرسال #601276: HKUDS LightRAG v1.3.8 Path Traversal (بحسب Hannibal0x)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق