Katalog CVE

CVE-2024-12366

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

PandasAI wykorzystuje funkcję interaktywnego podpowiadania, która jest podatna na wstrzyknięcie podpowiedzi, co pozwala na uruchomienie dowolnego kodu Pythona. Może to prowadzić do zdalnego wykonania kodu (RCE) zamiast zamierzonego wyjaśnienia przetwarzania języka naturalnego przez model LLM.

Ocena ryzyka

Wykorzystanie tej podatności może umożliwić atakującym zdalne wykonanie kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację PandasAI do najnowszej wersji, która naprawia tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed wstrzyknięciem kodu.

Oryginalny opis (angielski, źródło NVD)

PandasAI uses an interactive prompt function that is vulnerable to prompt injection and run arbitrary Python code that can lead to Remote Code Execution (RCE) instead of the intended explanation of the natural language processing by the LLM.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS