Zurück zur Liste

ChatterBot: Symlink-Following Arbitrary Write via UbuntuCorpusTrainer — GHSA-WVRH-2F4M-924V

GitHub · GitHub · GHSA-WVRH-2F4M-924V

ID
GHSA-WVRH-2F4M-924V

Datum
2026-06-20

Activity
2026-06-20

Quelle
GitHub

Vendor
GitHub

Risiko
medium

CVSS
5.5

Zusammenfassung

## Summary ChatterBot's `UbuntuCorpusTrainer.extract()` uses a predictable, home-rooted output directory (`~/ubuntu_data/ubuntu_dialogs`) with a check-then-create pattern (`if not os.path.exists: os.makedirs`) followed by `tar.extractall(path=self.data_path)`. A local attacker who pre-plants a symlink at the predictable path causes `os.path.exists()` to return True (following the symlink), skipping `makedirs`, and…

Produkt

pip: ChatterBot

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Zur offiziellen Quelle

Mehr dazu

GitHub GitHub 2026-W25

@jhb.software/payload-cloudinary-plugin: Arbitrary Cloudinary API Parameter Signing

2026-06-20 GHSA-H5X8-XP6M-X6Q4

highGitHub GitHub 2026-W25

Anki: User scripts in iframes have access to the internal Anki API

2026-06-20 GHSA-CW6H-FFMH-X6VH

mediumGitHub GitHub 2026-W25

Anki's local HTTP server does not sufficiently validate requests

2026-06-20 GHSA-869J-R97X-HX2G

highGitHub GitHub 2026-W25

Cloudflare Quiche: Use-after-free in connection ID iterator FFI functions

2026-06-20 CVE-2026-11941

mediumGitHub GitHub 2026-W25

githubtoplanguages: Command Injection via Issue Title in Discord Notification Workflow

2026-06-20 GHSA-C3XH-98XP-6QHF

highGitHub GitHub 2026-W25

LangSmith SDK TracingMiddleware: Arbitrary server-side file read

2026-06-20 GHSA-F4XH-W4CJ-QXQ8

highGitHub GitHub 2026-W25