PT-2024-20058 · Pandasai · Pandasai
Fubuki8087
·
Publicado
2024-01-21
·
Atualizado
2024-01-29
·
CVE-2024-23752
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
PandasAI (também conhecido como pandas-ai) versões 1.5.17 e anteriores
Descrição
A vulnerabilidade permite que invasores provoquem a geração de código Python arbitrário, executado pelo SDFCodeExecutor. Um invasor pode criar um dataframe que forneça uma especificação em inglês desse código Python. Isso é possível devido a uma falha no GenerateSDFPipeline no synthetic dataframe.
Recomendações
Para as versões 1.5.17 e anteriores, como solução temporária, considere desativar a função
GenerateSDFPipeline no synthetic dataframe até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Missing Authorization
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pandasai