ByteDance DeerFlow before commit 2176b2b contains a path traversal and arbitrary file write vulnerability in bootstrap-mode custom-agent creation where the agent name validation is bypassed. Attackers can supply traversal-style values or absolute paths as the agent name to influence directory creation and write files outside the intended custom-agent directory, potentially achieving arbitrary file write on the system subject to filesystem permissions.
ByteDance DeerFlow contains a path traversal vulnerability in bootstrap-mode custom-agent creation that allows attackers to bypass agent name validation and write files outside intended directories. This vulnerability could lead to arbitrary file write on affected systems, potentially compromising system integrity and confidentiality.
تحتوي نسخة ByteDance DeerFlow السابقة للالتزام 2176b2b على ثغرة اجتياز مسار في وظيفة إنشاء وكيل مخصص في وضع التمهيد. يمكن للمهاجمين تجاوز التحقق من صحة اسم الوكيل بتوفير قيم اجتياز مسار أو مسارات مطلقة، مما يؤدي إلى كتابة ملفات خارج الدليل المقصود.
ByteDance DeerFlow يحتوي على ثغرة اجتياز المسار في إنشاء وكيل مخصص في وضع التمهيد تسمح للمهاجمين بتجاوز التحقق من صحة اسم الوكيل. يمكن لهذه الثغرة أن تؤدي إلى كتابة ملفات تعسفية على الأنظمة المتأثرة، مما قد يعرض سلامة النظام والسرية للخطر.
Update ByteDance DeerFlow to commit 2176b2b or later immediately. Implement strict input validation for agent names to reject path traversal characters and absolute paths. Apply principle of least privilege to filesystem permissions for the DeerFlow process. Monitor file creation activities for suspicious patterns outside expected directories.
قم بتحديث ByteDance DeerFlow إلى الإصدار 2176b2b أو أحدث على الفور. قم بتطبيق التحقق الصارم من صحة المدخلات لأسماء الوكلاء لرفض أحرف اجتياز المسار والمسارات المطلقة. طبق مبدأ أقل امتياز على أذونات نظام الملفات لعملية DeerFlow. راقب أنشطة إنشاء الملفات للبحث عن أنماط مريبة خارج الدلائل المتوقعة.