CVE-2024-10950

Nome do Software Vulnerável e Versões Afetadas binary-husky/gpt academic versões <= 3.83

Descrição O problema é causado pela execução de prompts fornecidos pelo usuário que geram código não confiável sem um sandbox, permitindo a execução de partes do código gerado pelo LLM. Isso pode ser explorado por um atacante para obter execução remota de código (RCE) no servidor de backend da aplicação, potencialmente assumindo o controle total do servidor.

Recomendações Para as versões <= 3.83 do binary-husky/gpt academic, considere desativar o plugin CodeInterpreter até que um patch esteja disponível para prevenir ataques de injeção de código. Restrinja o acesso ao servidor de backend da aplicação para minimizar o risco de exploração. Evite utilizar prompts fornecidos pelo usuário que possam gerar código não confiável.