Sch227

**Nome do Software Vulnerável e Versões Afetadas** Versões do Langroid anteriores a 0.53.15 **Descrição** A questão refere-se ao Langroid, um framework Python para construir aplicações baseadas em modelos de linguagem de grande porte (LLM). Em versões anteriores a 0.53.15, o `TableChatAgent` utiliza `pandas eval()`, o que pode ser vulnerável a injeção de código se receber entrada de usuário não confiável, como em aplicações LLM acessíveis publicamente. O Langroid 0.53.15 resolve isso sanitizando a entrada para o `TableChatAgent` por padrão e adicionando avisos sobre comportamento de risco na documentação do projeto. **Recomendações** Para versões anteriores a 0.53.15, atualize para a versão 0.53.15 para sanitizar a entrada para o `TableChatAgent` e prevenir vulnerabilidades de injeção de código. Como solução temporária, considere desabilitar o uso de `pandas eval()` no `TableChatAgent` até que uma correção esteja disponível. Restrinja o acesso ao `TableChatAgent` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Langroid anteriores à 0.53.15 **Descrição** O problema envolve o uso do `pandas eval()` por meio da função `compute from docs()` no componente `LanceDocChatAgent`. Isso permite que um atacante potencialmente execute comandos maliciosos, comprometendo o sistema hospedeiro. O `QueryPlan.dataframe calc` também está implicado nesta questão. **Recomendações** Para versões anteriores à 0.53.15, considere desativar o componente `LanceDocChatAgent` ou restringir seu uso até que o problema seja resolvido. Como solução temporária, evite usar a função `compute from docs()` e o `QueryPlan.dataframe calc` para minimizar o risco de exploração. Atualize para a versão 0.53.15 ou posterior, que sanitiza a entrada para a função afetada por padrão e inclui avisos sobre comportamento de risco na documentação do projeto.

**Nome do Software Vulnerável e Versões Afetadas** versões do setuptools anteriores à 78.1.1 **Descrição** Uma vulnerabilidade de travessia de caminho em `PackageIndex` foi identificada no setuptools. Um atacante poderia escrever arquivos em locais arbitrários no sistema de arquivos com as permissões do processo que executa o código Python, o que poderia levar à execução remota de código, dependendo do contexto. **Recomendações** Atualize o setuptools para a versão 78.1.1 ou posterior para corrigir a vulnerabilidade. Para o Debian 11 bullseye, atualize para a versão 52.0.0-4+deb11u2 ou posterior. Para outras distribuições, siga as instruções de atualização recomendadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Langroid anteriores à 0.53.4 **Descrição** Uma aplicação de LLM que utiliza a classe `XMLToolMessage` pode ficar exposta a entradas XML não confiáveis, potencialmente resultando em Negação de Serviço (DoS) e/ou na exposição de arquivos locais com informações sensíveis. A classe `XMLToolMessage` utiliza `lxml` sem salvaguardas, tornando-a vulnerável a ataques de explosão quadrática e permitindo o processamento de declarações de entidade externa para arquivos locais por padrão. **Recomendações** Para versões anteriores à 0.53.4, atualize para a versão 0.53.4 para corrigir o problema. Como medida de contorno temporária, considere desativar o uso da classe `XMLToolMessage` até que a atualização seja aplicada. Restrinja o acesso à biblioteca `lxml` para minimizar o risco de exploração. Evite usar a classe `XMLToolMessage` com entradas XML não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Puncia anteriores à 0.21 **Descrição** O problema decorre do fato de `API URLS` utilizar HTTP em vez de HTTPS para comunicação, o que pode levar a riscos como escuta clandestina, adulteração de dados, acesso não autorizado a dados e ataques MITM. **Recomendações** Para versões anteriores à 0.21, atualize para a versão 0.21 para resolver o problema, utilizando conexões HTTPS em vez de HTTP. No momento, não há informações sobre outras soluções alternativas para este problema.