PT-2024-31815 · Guardrails Ai · Guardrails Ai Guardrails Framework
Leo Ring
·
Publicado
2024-09-18
·
Atualizado
2024-09-20
·
CVE-2024-45858
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 0.2.9 a 0.5.10 da estrutura Guardrails AI Guardrails
Descrição
Existe uma vulnerabilidade de execução de código arbitrário devido à forma como a estrutura Guardrails AI Guardrails valida arquivos XML. Se um arquivo XML maliciosamente criado contendo código Python for carregado, o código será executado na máquina do usuário, pois é passado para uma função eval.
Recomendações
Para as versões 0.2.9 a 0.5.10 da estrutura Guardrails AI Guardrails, considere desativar o recurso de validação de XML até que um patch esteja disponível para impedir a possível execução de código. Restrinja o acesso ao carregamento de arquivos XML de fontes não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Guardrails Ai Guardrails Framework