CVE-2025-51459

Nome do Software Vulnerável e Versões Afetadas DB-GPT versão 0.7.0

Descrição Existe uma vulnerabilidade de upload de arquivo no componente agent.hub.controller.refresh plugins do DB-GPT. Isso permite que atacantes remotos executem código arbitrário enviando um arquivo ZIP de plugin malicioso para o endpoint da API /v1/personal/agent/upload. A vulnerabilidade envolve a interação com as funções plugin hub. sanitize filename e plugins util.scan plugins.

Recomendações DB-GPT versão 0.7.0: Como solução temporária, considere restringir o acesso ao endpoint da API /v1/personal/agent/upload até que uma correção esteja disponível.