F5-TTS through version 1.1.20 contains a path traversal vulnerability in the finetune Gradio handlers that allows unauthenticated attackers to write arbitrary files by passing unsanitized user-supplied project names directly to os.path.join() without validating the resulting path stays within the intended base directory. Attackers can supply absolute path arguments such as /tmp/EVIL to override the base directory entirely and create arbitrary directories with attacker-controlled JSON content at any filesystem path writable by the server process.
F5-TTS versions up to 1.1.20 contain a path traversal vulnerability in Gradio handlers allowing unauthenticated attackers to write arbitrary files by exploiting unsanitized project names. Attackers can create malicious files at any filesystem location writable by the server process, potentially leading to code execution or system compromise.
تحتوي ثغرة اجتياز المسار هذه على معالجات Gradio في F5-TTS التي تفشل في التحقق من صحة أسماء المشاريع المزودة من قبل المستخدم قبل استخدامها في os.path.join(). يمكن للمهاجمين توفير مسارات مطلقة مثل /tmp/EVIL لتجاوز الدليل الأساسي وإنشاء ملفات JSON ضارة في أي موقع قابل للكتابة. هذا يمكن أن يؤدي إلى تنفيذ الأوامر البعيدة أو اختراق النظام.
إصدارات F5-TTS حتى 1.1.20 تحتوي على ثغرة اجتياز المسار في معالجات Gradio تسمح للمهاجمين غير المصرحين بكتابة ملفات عشوائية. يمكن للمهاجمين إنشاء ملفات ضارة في أي موقع نظام ملفات قابل للكتابة بواسطة عملية الخادم.
Immediately upgrade F5-TTS to version 1.1.21 or later. Implement input validation to sanitize project names and verify resulting paths remain within intended base directories using os.path.realpath() and path normalization. Restrict file write permissions for the server process to minimal required directories. Deploy Web Application Firewall rules to detect path traversal patterns. Monitor filesystem write operations for suspicious activity.
قم بالترقية الفورية إلى F5-TTS الإصدار 1.1.21 أو أحدث. طبق التحقق من صحة المدخلات لتطهير أسماء المشاريع والتحقق من بقاء المسارات الناتجة ضمن الدلائل الأساسية المقصودة. قيد أذونات كتابة الملفات لعملية الخادم على الدلائل المطلوبة بحد أدنى. نشر قواعد جدار حماية تطبيقات الويب للكشف عن أنماط اجتياز المسار. راقب عمليات كتابة نظام الملفات للنشاط المريب.