PT-2024-31874 · Unknown · Monica Ai Assistant
Sourajeet Majumder
·
Publicado
2024-09-26
·
Atualizado
2024-09-30
·
CVE-2024-45989
CVSS v3.1
4.0
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo para desktop Monica AI Assistant, versão 2.3.0
Descrição
A vulnerabilidade permite que um invasor modifique a resposta do chatbot com uma imagem não carregada, o que pode exfiltrar os dados confidenciais do chat do usuário da sessão atual para um servidor malicioso de terceiros ou controlado pelo invasor por meio de uma injeção de prompt. Isso possibilita a exposição de informações confidenciais a agentes não autorizados.
Recomendações
Para o aplicativo de desktop Monica AI Assistant versão 2.3.0, como solução temporária, considere desativar o uso de imagens nas respostas do chatbot até que uma correção esteja disponível. Restrinja o acesso a dados confidenciais do chat para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Monica Ai Assistant