漏洞概述 漏洞名称: Composio SDK = 0.2.32-beta.283 漏洞描述 Composio SDK 在 0.2.32-beta.283 之前存在路径验证绕过漏洞,攻击者可以利用该漏洞读取和导出敏感文件。具体来说,攻击者可以通过利用 中的 函数内的 检查缺失,通过提示注入来操纵文件可上传参数,引用敏感路径(如 SSH 私钥),导致 CLI 将凭证文件上传到攻击者控制的存储。 参考链接 Researcher Disclosure Release Notes Fix PR Fix Commit 贡献者 George Chen 其他信息 VulnCheck: 提供下一代网络威胁情报平台,帮助优先处理和修复重要的漏洞。 功能: - 漏洞优先级排序: 基于威胁景观优先处理重要的漏洞,推迟不重要的漏洞。 - 早期预警系统: 实时警报漏洞景观中的变化,以便在攻击开始之前采取行动。 总结 该漏洞涉及 Composio SDK 的路径验证绕过,可能导致敏感文件泄露。建议升级到 0.2.32-beta.283 或更高版本以修复此漏洞。