CVE-2024-10835

Nome do Software Vulnerável e Versões Afetadas eosphoros-ai/db-gpt versão v0.6.0

Descrição A falha permite a execução de consultas SQL arbitrárias sem controle de acesso através do endpoint da API web POST /api/v1/editor/sql/run. Isso pode ser explorado para realizar Escrita Arbitrária de Arquivos utilizando DuckDB SQL, permitindo que invasores gravem arquivos arbitrários no sistema de arquivos da vítima, potencialmente levando à Execução Remota de Código (RCE).

Recomendações Para a versão v0.6.0 do eosphoros-ai/db-gpt, considere desabilitar o acesso ao endpoint da API POST /api/v1/editor/sql/run até que um patch esteja disponível para prevenir a exploração. Restringir o acesso a este endpoint pode minimizar o risco de execução de consultas SQL arbitrárias e subsequente manipulação do sistema de arquivos.