CVE-2024-12366
CriticalSummary
PandasAI wykorzystuje funkcję interaktywnego podpowiadania, która jest podatna na wstrzyknięcie podpowiedzi, co pozwala na uruchomienie dowolnego kodu Pythona. Może to prowadzić do zdalnego wykonania kodu (RCE) zamiast zamierzonego wyjaśnienia przetwarzania języka naturalnego przez model LLM.
Risk Assessment
Wykorzystanie tej podatności może umożliwić atakującym zdalne wykonanie kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Recommendation
Zaleca się aktualizację PandasAI do najnowszej wersji, która naprawia tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed wstrzyknięciem kodu.
Original NVD description (English source)
PandasAI uses an interactive prompt function that is vulnerable to prompt injection and run arbitrary Python code that can lead to Remote Code Execution (RCE) instead of the intended explanation of the natural language processing by the LLM.

