A weakness has been identified in huangjunsen0406 xiaozhi-mcphub up to 1.0.3. This vulnerability affects unknown code of the file src/controllers/dxtController.ts. This manipulation of the argument manifest.name causes path traversal. The attack may be initiated remotely. The exploit has been made available to the public and could be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.
A path traversal vulnerability exists in xiaozhi-mcphub up to version 1.0.3 through the manifest.name parameter in dxtController.ts, allowing remote attackers to access unauthorized files. The vulnerability has public exploits available and the vendor has not yet responded to notifications.
ثغرة اجتياز المسار في xiaozhi-mcphub تسمح للمهاجمين بالتلاعب بمعامل manifest.name للوصول إلى ملفات خارج الدليل المقصود. الاستغلال متاح للجمهور ويمكن استخدامه في هجمات فعلية ضد الأنظمة المتأثرة. المشروع لم يستجب بعد للإخطارات الأمنية.
ثغرة اجتياز المسار موجودة في xiaozhi-mcphub حتى الإصدار 1.0.3 من خلال معامل manifest.name في dxtController.ts، مما يسمح للمهاجمين البعيدين بالوصول إلى الملفات غير المصرح بها. الثغرة لديها استغلالات عامة متاحة والبائع لم يرد على الإخطارات حتى الآن.
Update xiaozhi-mcphub to a patched version beyond 1.0.3 immediately. Implement input validation and sanitization for the manifest.name parameter. Apply path traversal protection mechanisms and restrict file access through proper access controls. Monitor for suspicious file access patterns.
قم بتحديث xiaozhi-mcphub إلى إصدار مصحح يتجاوز 1.0.3 فوراً. قم بتنفيذ التحقق من صحة المدخلات وتنظيفها لمعامل manifest.name. طبق آليات حماية اجتياز المسار وقيد الوصول إلى الملفات من خلال عناصر التحكم في الوصول المناسبة. راقب أنماط الوصول إلى الملفات المريبة.