从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Arbitrary File Read via Insufficient Validation in Load Prompt template in gaizhenbiao/chuanhuchatgpt - 报告日期:2024年7月14日 - 验证状态:已验证 - 漏洞类型:CWE-29: Path Traversal: - 严重性:高(7.5) 2. 漏洞利用: - 利用步骤: 1. 登录到 chuanhuChat。 2. 导航到对话 - 加载提示模板 - 选择提示模板集合文件 - 选择并拦截请求以修改文件路径为“C:[file]”以读取特定文件。 3. 在“从提示模板加载”部分选择一个部分,第二个部分将在返回的队列/数据接口中显示。 3. 漏洞影响: - 漏洞允许读取格式合规的文件,包括代码和日志文件。 - 日志文件可能包含高度敏感信息,如账户凭据。 4. 漏洞发生位置: - 文件:utils.py L513-L533 5. 漏洞修复: - 修复状态:已修复 - 修复者:Chuan Hu - 修复日期:2024年8月18日 6. 漏洞披露: - 披露金额:$450 - 披露状态:已披露 7. 漏洞发现者: - 发现者:web-hacker-team 8. 漏洞评级: - 评级:高(7.5) 这些信息提供了关于漏洞的详细描述、利用方法、影响、发生位置、修复情况、披露情况以及发现者和评级等关键信息。