Katalog CVE

CVE-2026-35002

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Agno przed 2.3.24 zawierają podatność na wykonanie dowolnego kodu w komponencie wykonania modelu, która pozwala atakującym na uruchomienie dowolnego kodu Python poprzez manipulację parametrem field_type przekazywanym do eval(). Atakujący mogą wpłynąć na wartość field_type w FunctionCall, co prowadzi do zdalnego wykonania kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem lub wycieku danych.

Rekomendacja

Zaleca się aktualizację do wersji Agno 2.3.24 lub nowszej, aby usunąć tę podatność oraz monitorowanie systemów pod kątem nieautoryzowanych działań.

Oryginalny opis (angielski, źródło NVD)

Agno versions prior to 2.3.24 contain an arbitrary code execution vulnerability in the model execution component that allows attackers to execute arbitrary Python code by manipulating the field_type parameter passed to eval(). Attackers can influence the field_type value in a FunctionCall to achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS