CVE-2024-48918

Versões do RDS Light anteriores à 1.1.0

O problema envolve uma falha na validação de entradas na estrutura do RDS AI, especificamente no código de tratamento de entradas do usuário no módulo principal (main.py). Isso deixa a estrutura vulnerável a ataques de injeção e a possíveis adulterações de memória. Qualquer usuário ou agente externo que forneça entradas ao sistema poderia explorar essa vulnerabilidade para injetar comandos maliciosos, corromper dados armazenados ou afetar chamadas de API. Isso é particularmente crítico para usuários que empregam o RDS AI em ambientes de produção onde ele interage com sistemas confidenciais, realiza cache de memória dinâmico ou recupera dados específicos do usuário para análise.

Para versões anteriores à 1.1.0, atualize para a versão 1.1.0 ou superior e certifique-se de que todas as dependências estejam atualizadas para suas versões mais recentes.

Como solução alternativa temporária para usuários que não possam atualizar para a versão corrigida, implemente verificações de validação personalizadas para entradas do usuário a fim de filtrar caracteres e padrões inseguros (por exemplo, tentativas de injeção de SQL, injeções de script) e limite ou remova recursos que permitam entradas do usuário até que o sistema possa ser corrigido.