PT-2024-18926 · Unknown · Langchain Experimental+1
Rory Mcnamara
·
Publicado
2024-07-15
·
Atualizado
2024-08-01
·
CVE-2024-21513
CVSS v4.0
9.0
Crítica
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do software vulnerável e versões afetadas
langchain-experimental, versões 0.0.15 a 0.0.21
Descrição
A vulnerabilidade permite a execução de código arbitrário ao recuperar valores do banco de dados. Um invasor pode explorar essa vulnerabilidade controlando o prompt de entrada e executando código Python arbitrário se o servidor estiver configurado com o VectorSQLDatabaseChain. Isso afeta a confidencialidade, integridade e disponibilidade do componente vulnerável e do sistema subsequente. O invasor precisa manipular o prompt de entrada para explorar a vulnerabilidade.
Recomendações
Para as versões 0.0.15 a 0.0.21, considere desativar a função
eval ou restringir o acesso ao plug-in VectorSQLDatabaseChain como uma solução temporária até que um patch esteja disponível. Restringir o prompt de entrada para impedir o controle não autorizado também pode ajudar a minimizar o risco de exploração.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vectorsqldatabasechain
Langchain Experimental