PT-2026-20868 · Microsoft · Semantic-Kernel+1
Amiteliahu
+2
·
Publicado
2026-02-19
·
Atualizado
2026-06-13
·
CVE-2026-26030
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Semantic Kernel Python SDK versões anteriores a 1.39.4
Description
Um problema de execução remota de código existe na funcionalidade de filtro do
InMemoryVectorStore. A falha ocorre na função InMemoryCollection. parse and validate filter, onde um filter str especialmente elaborado pode acessar internos de objetos Python, como globals, permitindo que um invasor escale uma injeção de prompt para a execução de código arbitrário.Recommendations
Atualize o Semantic Kernel Python SDK para a versão 1.39.4 ou posterior.
Como medida paliativa temporária, evite usar o
InMemoryVectorStore em cenários de produção.Exploit
Correção
RCE
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Inmemoryvectorstore
Semantic-Kernel