Vulnerabilidad en Qdrant (CVE-2024-3078)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
29/03/2024
Última modificación:
07/05/2025
Descripción
Se ha encontrado una vulnerabilidad en Qdrant hasta 1.6.1/1.7.4/1.8.2 y se ha clasificado como crítica. Este problema afecta un procesamiento desconocido del archivo lib/collection/src/collection/snapshots.rs del componente Full Snapshot REST API. La manipulación conduce al recorrido del camino. La actualización a la versión 1.8.3 puede solucionar este problema. El parche se llama 3ab5172e9c8f14fa1f7b24e7147eac74e2412b62. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-258611.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.20
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:qdrant:qdrant:*:*:*:*:*:*:*:* | 1.6.1 (incluyendo) | |
| cpe:2.3:a:qdrant:qdrant:*:*:*:*:*:*:*:* | 1.7.0 (incluyendo) | 1.7.4 (incluyendo) |
| cpe:2.3:a:qdrant:qdrant:*:*:*:*:*:*:*:* | 1.8.0 (incluyendo) | 1.8.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/qdrant/qdrant/commit/3ab5172e9c8f14fa1f7b24e7147eac74e2412b62
- https://github.com/qdrant/qdrant/pull/3856
- https://github.com/qdrant/qdrant/releases/tag/v1.8.3
- https://vuldb.com/?ctiid_258611=
- https://vuldb.com/?id_258611=
- https://github.com/qdrant/qdrant/commit/3ab5172e9c8f14fa1f7b24e7147eac74e2412b62
- https://github.com/qdrant/qdrant/pull/3856
- https://github.com/qdrant/qdrant/releases/tag/v1.8.3
- https://vuldb.com/?ctiid_258611=
- https://vuldb.com/?id_258611=