CVE-2024-8099

Nome do Software Vulnerável e Versões Afetadas vanna-ai/vanna (versões afetadas não especificadas)

Descrição Existe uma vulnerabilidade de Falsificação de Requisição no Lado do Servidor (SSRF) ao utilizar o DuckDB como banco de dados, permitindo que invasores enviem consultas SQL manipuladas para efetuar solicitações não autorizadas a recursos internos ou externos. Isso pode levar ao acesso não autorizado a dados sensíveis e sistemas internos. A vulnerabilidade pode ser explorada utilizando as funcionalidades padrão do DuckDB, como read csv, read csv auto, read text e read blob.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.