PT-2024-31697 · D-Tale · D-Tale

Aftersnows

Publicado

2024-09-10

Atualizado

2024-09-20

CVE-2024-45595

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas:

Versões do D-Tale anteriores à 3.14.1

Descrição:

O D-Tale é um visualizador para estruturas de dados do Pandas. Os usuários que hospedam o D-Tale publicamente podem estar vulneráveis à execução remota de código, permitindo que invasores executem código malicioso no servidor. O problema está relacionado ao campo de entrada Custom Filter.

Recomendações:

Para versões anteriores à 3.14.1, atualize para a versão 3.14.1, na qual a entrada Custom Filter está desativada por padrão.

Como solução alternativa temporária para versões anteriores à 3.14.1, considere hospedar o D-Tale apenas para usuários confiáveis.

Exploit

Correção

RCE

Special Elements Injection

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-79

Identificadores relacionados

CVE-2024-45595

GHSA-PW44-4H99-WQFF

Produtos afetados

D-Tale

PT-2024-31697 · D-Tale · D-Tale

CVE-2024-45595

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11