imartinez/privategpt 中的 Python 命令注入(CVE-2024-4343)

admin 2024-11-15 17:19:31 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
imartinez/privategpt 中的 Python 命令注入(CVE-2024-4343)

CVE编号

CVE-2024-4343

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-15
漏洞描述
在 imartinez/privategpt 应用程序的 `./private_gpt/components/llm/custom/sagemaker.py` 文件中的 `SagemakerLLM` 类的 `complete()` 方法存在一个 Python 命令注入漏洞,影响版本至 0.3.0。该漏洞是由于使用 `eval()` 函数来解析从远程 AWS SageMaker LLM 端点接收的字符串并将其转换为字典而产生的。这种解析方式是不安全的,因为它可以执行响应中包含的任意 Python 代码。攻击者可以通过操纵来自 AWS SageMaker LLM 端点的响应来包含恶意 Python 代码,从而导致在托管应用程序的系统上执行任意命令。该问题已在 0.6.0 版本中修复。
解决建议
"将组件 imartinez/privategpt 升级至 0.6.0 及以上版本"
参考链接
https://github.com/imartinez/privategpt/commit/86368c61760c9cee5d977131d23ad2...
https://huntr.com/bounties/1d1e8f06-ec45-4b17-ae24-b83a41304c15
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-48284利用情况 暂无补丁情况 N/A披露时间 2024-11-15漏洞描述A Reflected Cross-Sit
评论:0   参与:  0