CVE-2024-45850

MindsDB, versões 23.10.5.0 a 24.7.4.1

Existe uma vulnerabilidade que permite a execução de código arbitrário quando a integração com o Microsoft SharePoint está instalada no servidor. Para bancos de dados criados com o mecanismo do SharePoint, uma consulta INSERT especialmente criada contendo código Python pode ser usada para executar código no servidor. Isso ocorre porque o código é passado para uma função eval. A vulnerabilidade está relacionada ao gerenciamento incorreto da geração de código na função eval da plataforma MindsDB, permitindo que um invasor remoto execute código arbitrário ao injetar uma consulta INSERT especialmente criada.

Para as versões 23.10.5.0 a 24.7.4.1 do MindsDB, considere desativar a integração com o Microsoft SharePoint até que um patch esteja disponível para impedir a exploração. Como solução alternativa temporária, restrinja o uso de consultas INSERT em bancos de dados criados com o mecanismo do SharePoint para minimizar o risco de execução de código arbitrário. Evite usar a função eval na plataforma MindsDB até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.