CVE-2024-12366

Nome do Software Vulnerável e Versões Afetadas: Versões do PandasAI 2.4.3 e anteriores

Descrição: O PandasAI utiliza uma função de prompt interativo vulnerável a injeção de prompt, permitindo a execução de código Python arbitrário. Isso pode levar à Execução Remota de Código (RCE) em vez da explicação pretendida de processamento de linguagem natural pelo LLM. Os controles de segurança do PandasAI falham em distinguir entre entradas legítimas e maliciosas, permitindo que atacantes manipulem o sistema para executar código não confiável. Isso pode resultar em comprometimento do sistema ou ataques de pivoteamento em serviços conectados.

Recomendações: Para as versões do PandasAI 2.4.3 e anteriores, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere desativar a função de prompt interativo até que um patch esteja disponível. Restrinja o acesso à funcionalidade de prompt vulnerável a injeção para minimizar o risco de exploração. Evite utilizar a função de prompt interativo com entradas não confiáveis até que o problema seja resolvido.