PT-2026-53998 · Pypi · Txtai

George Chen

·

Publicado

2026-06-30

·

Atualizado

2026-07-01

·

CVE-2026-58449

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas txtai versões anteriores a 9.10.1
Description O software expõe um endpoint de API '/reindex' onde o parâmetro de corpo function é processado por txtai.util.Resolver. Este resolver executa import e getattr em um caminho pontilhado fornecido pelo usuário sem a utilização de uma lista de permissões (allowlist). Se a API for implantada sem um TOKEN configurado para autenticação e o índice estiver configurado como gravável, um invasor remoto pode definir o parâmetro function para um chamável arbitrário, como subprocess.getoutput(), resultando na execução remota de código como o processo do servidor durante o processo de reindexação.
Recommendations Atualize para a versão que contém o commit 11b32da. Restrinja o acesso ao endpoint de API '/reindex' ou configure um TOKEN para autenticação para evitar acesso não autorizado. Configure o índice como somente leitura para evitar a exploração do requisito de índice gravável.

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58449

Produtos afetados

Txtai