CVE-2024-12366
KrytyczneStreszczenie
PandasAI wykorzystuje funkcję interaktywnego podpowiadania, która jest podatna na wstrzyknięcie podpowiedzi, co pozwala na uruchomienie dowolnego kodu Pythona. Może to prowadzić do zdalnego wykonania kodu (RCE) zamiast zamierzonego wyjaśnienia przetwarzania języka naturalnego przez model LLM.
Ocena ryzyka
Wykorzystanie tej podatności może umożliwić atakującym zdalne wykonanie kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się aktualizację PandasAI do najnowszej wersji, która naprawia tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed wstrzyknięciem kodu.
Oryginalny opis (angielski, źródło NVD)
PandasAI uses an interactive prompt function that is vulnerable to prompt injection and run arbitrary Python code that can lead to Remote Code Execution (RCE) instead of the intended explanation of the natural language processing by the LLM.

