PT-2024-31811 · Mindsdb · Mindsdb
Kasimir Schulz
+2
·
Publicado
2024-09-12
·
Atualizado
2024-09-16
·
CVE-2024-45854
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
MindsDB versões 23.10.3.0 e posteriores
Descrição:
O problema está relacionado à desserialização de dados não confiáveis na plataforma MindsDB. Isso permite que um modelo “interno” carregado de forma maliciosa execute código arbitrário no servidor quando uma consulta “describe” é executada nele.
Recomendações:
Para as versões 23.10.3.0 e posteriores do MindsDB, considere desativar a desserialização de dados não confiáveis como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à funcionalidade de consulta “describe” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mindsdb