CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-12366

Critical
Published: Translated: NVD NIST

Summary

PandasAI wykorzystuje funkcję interaktywnego podpowiadania, która jest podatna na wstrzyknięcie podpowiedzi, co pozwala na uruchomienie dowolnego kodu Pythona. Może to prowadzić do zdalnego wykonania kodu (RCE) zamiast zamierzonego wyjaśnienia przetwarzania języka naturalnego przez model LLM.

Risk Assessment

Wykorzystanie tej podatności może umożliwić atakującym zdalne wykonanie kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się aktualizację PandasAI do najnowszej wersji, która naprawia tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed wstrzyknięciem kodu.

Original NVD description (English source)

PandasAI uses an interactive prompt function that is vulnerable to prompt injection and run arbitrary Python code that can lead to Remote Code Execution (RCE) instead of the intended explanation of the natural language processing by the LLM.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS