imartinez/privategpt 中的 Python 命令注入(CVE-2024-4343)
CVE编号
CVE-2024-4343利用情况
暂无补丁情况
N/A披露时间
2024-11-15漏洞描述
在 imartinez/privategpt 应用程序的 `./private_gpt/components/llm/custom/sagemaker.py` 文件中的 `SagemakerLLM` 类的 `complete()` 方法存在一个 Python 命令注入漏洞,影响版本至 0.3.0。该漏洞是由于使用 `eval()` 函数来解析从远程 AWS SageMaker LLM 端点接收的字符串并将其转换为字典而产生的。这种解析方式是不安全的,因为它可以执行响应中包含的任意 Python 代码。攻击者可以通过操纵来自 AWS SageMaker LLM 端点的响应来包含恶意 Python 代码,从而导致在托管应用程序的系统上执行任意命令。该问题已在 0.6.0 版本中修复。解决建议
"将组件 imartinez/privategpt 升级至 0.6.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/imartinez/privategpt/commit/86368c61760c9cee5d977131d23ad2... | |
| https://huntr.com/bounties/1d1e8f06-ec45-4b17-ae24-b83a41304c15 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-78 | OS命令中使用的特殊元素转义处理不恰当(OS命令注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论