Doredry

**Nome do Software Vulnerável e Versões Afetadas** Semantic Kernel Python SDK versões anteriores a 1.39.4 **Description** Um problema de execução remota de código existe na funcionalidade de filtro do `InMemoryVectorStore`. A falha ocorre na função `InMemoryCollection. parse and validate filter`, onde um `filter str` especialmente elaborado pode acessar internos de objetos Python, como ` globals `, permitindo que um invasor escale uma injeção de prompt para a execução de código arbitrário. **Recommendations** Atualize o Semantic Kernel Python SDK para a versão 1.39.4 ou posterior. Como medida paliativa temporária, evite usar o `InMemoryVectorStore` em cenários de produção.

**Nome do Software Vulnerável e Versões Afetadas** Pydantic AI versões 1.34.0 a 1.50.9 **Descrição** O Pydantic AI apresenta uma vulnerabilidade de path traversal em sua interface web. Uma URL especialmente criada pode ser utilizada por um atacante para servir JavaScript arbitrário dentro do contexto do aplicativo. Isso permite a execução de código controlado pelo atacante no navegador da vítima, potencialmente levando ao roubo do histórico de chats e cookies de sessão. O problema ocorre porque a URL do CDN é construída usando um parâmetro de consulta `version` não validado da URL da requisição, permitindo sequências de path traversal. Essa vulnerabilidade afeta aplicações que utilizam `Agent.to web` ou `clai web` para disponibilizar uma interface de chat, que podem estar sendo executadas localmente ou em um servidor remoto. **Recomendações** Atualize para a versão 1.51.0 ou posterior para remover o parâmetro `version` controlado pelo usuário e prevenir a vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Microsoft Semantic Kernel .NET SDK versões anteriores a 1.71.0 Agent Framework versão 1.0 **Description** Um problema de escrita arbitrária de arquivos existe no `SessionsPythonPlugin` do SDK .NET. Esta falha pode ser encadeada com travessia de caminho (path traversal) e otimizações automatizadas inseguras para alcançar a execução remota de código (RCE). O problema surge de uma lacuna de confiança onde a saída estocástica do LLM é tratada como comandos de sistema de alta prioridade quando o `AutoInvokeKernelFunctions` está habilitado, falhando na validação eficaz das chamadas de ferramentas. Atacantes podem burlar filtros de segurança usando confusão de tipo JSON, codificação Base64/URL ou homógrafos Unicode para sobrescrever o próprio código-fonte da aplicação, como o `Program.cs`, levando ao controle total do host. O problema envolve especificamente as funções `DownloadFileAsync()` e `UploadFileAsync()` e a variável `localFilePath`. **Recommendations** Para as versões do Microsoft Semantic Kernel .NET SDK anteriores a 1.71.0, atualize para a versão 1.71.0 ou superior. Para o Agent Framework versão 1.0, desative o `ToolCallBehavior.AutoInvokeKernelFunctions` e mude para a invocação manual de funções. Como mitigação temporária, implemente um Filtro de Invocação de Função para verificar se a variável `localFilePath` passada para `DownloadFileAsync()` ou `UploadFileAsync()` está em uma lista de permitidos e ancorada a uma raiz segura.

**Nome do Software Vulnerável e Versões Afetadas** Pydantic AI versões 0.0.26 até 1.55.9 **Descrição** Existe uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) na funcionalidade de download de URL do Pydantic AI. Quando aplicações aceitam histórico de mensagens de fontes não confiáveis, os atacantes podem incluir URLs maliciosas que fazem o servidor realizar solicitações HTTP para recursos de rede interna, potencialmente acessando serviços internos ou credenciais de nuvem. Esta vulnerabilidade afeta apenas aplicações que aceitam histórico de mensagens de usuários externos, como aquelas que usam `Agent.to web`, `clai web`, `VercelAIAdapter`, `AGUIAdapter`, ou `Agent.to ag ui`, ou APIs personalizadas que aceitam histórico de mensagens da entrada do usuário. A função auxiliar `download item()` baixa conteúdo de URLs sem validar se o destino é um endereço público da internet. Os atacantes podem potencialmente acessar serviços internos, roubar credenciais de nuvem ou varrer redes internas. Múltiplas integrações de modelos baixam conteúdo de URL em certas condições, incluindo `OpenAIChatModel`, `AnthropicModel`, `GoogleModel`, `XaiModel`, `BedrockConverseModel`, e `OpenRouterModel`. **Recomendações** Atualize para a versão 1.56.0 ou posterior. Se um projeto não puder atualizar imediatamente, use um processador de histórico para filtrar URLs que visam endereços locais/privados.