PT-2024-32293 · Sympy+1 · Sympy+1
12End
·
Publicado
2024-09-18
·
Atualizado
2025-07-16
·
CVE-2024-46946
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
langchain experimental, versões 0.1.17 a 0.3.0
Descrição
A vulnerabilidade permite que invasores executem código arbitrário por meio de
sympy.sympify (que utiliza eval) em LLMSymbolicMathChain. LLMSymbolicMathChain foi introduzido em um commit específico em 5 de outubro de 2023.Recomendações
Para as versões 0.1.17 a 0.3.0, considere desativar a função
sympy.sympify até que um patch esteja disponível para impedir a execução de código arbitrário.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Eval Injection
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Langchain Experimental
Sympy