CVE-2024-10457

Nome do Software Vulnerável e Versões Afetadas autogpt versões agpt-platform-beta-v0.1.1

Descrição Múltiplas vulnerabilidades de Falsificação de Solicitação no Lado do Servidor (SSRF) foram identificadas no repositório autogpt, especificamente nos blocos de Integração com GitHub e Pesquisa na Web. Essas vulnerabilidades ocorrem quando as entradas dos blocos são controladas por fontes não confiáveis, levando ao potencial vazamento de credenciais, varredura de rede interna e acesso não autorizado a serviços internos, APIs ou armazenamentos de dados. Os blocos afetados incluem GithubListPullRequestsBlock, GithubReadPullRequestBlock, GithubAssignPRReviewerBlock, GithubListPRReviewersBlock, GithubUnassignPRReviewerBlock, GithubCommentBlock, GithubMakeIssueBlock, GithubReadIssueBlock, GithubListIssuesBlock, GithubAddLabelBlock, GithubRemoveLabelBlock, GithubListBranchesBlock e ExtractWebsiteContentBlock.

Recomendações Para a versão agpt-platform-beta-v0.1.1, considere desativar os blocos afetados, incluindo GithubListPullRequestsBlock, GithubReadPullRequestBlock, GithubAssignPRReviewerBlock, GithubListPRReviewersBlock, GithubUnassignPRReviewerBlock, GithubCommentBlock, GithubMakeIssueBlock, GithubReadIssueBlock, GithubListIssuesBlock, GithubAddLabelBlock, GithubRemoveLabelBlock, GithubListBranchesBlock e ExtractWebsiteContentBlock, até que um patch esteja disponível. Restrinja o acesso a esses blocos para minimizar o risco de exploração. Evite usar fontes não confiáveis para controlar as entradas dos blocos.