PT-2024-36568 · Unknown · Vanna Library
Natan Nehorai
·
Publicado
2024-05-31
·
Atualizado
2026-06-15
·
CVE-2024-5565
CVSS v4.0
9.2
Crítica
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Biblioteca Vanna (versões afetadas não especificadas)
Descrição
A biblioteca Vanna está sujeita a uma vulnerabilidade de execução remota de código devido à injeção de prompt. Isso permite que um invasor altere a função de prompt usada para resultados visualizados e execute código Python arbitrário. A vulnerabilidade surge quando é permitida a entrada externa no método
ask da biblioteca com visualize definido como True, que é o comportamento padrão. Esta vulnerabilidade já teria sido explorada na prática.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Code Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vanna Library