Katalog CVE

CVE-2026-31231

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Cognee w wersji do 0.4.0 zawiera krytyczną podatność na zdalne wykonanie kodu w swoim API do wykonywania komórek notatnika. Punkt końcowy wykonuje dowolny kod Python dostarczony przez użytkownika, używając niebezpiecznej funkcji exec() bez żadnego piaskownicy, walidacji ani zabezpieczeń.

Ocena ryzyka

Atakujący może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądanie POST z złośliwym kodem Python, co prowadzi do wykonania dowolnego kodu na serwerze Cognee z uprawnieniami procesu serwera, co pozwala na całkowite przejęcie systemu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Cognee, która naprawia tę podatność oraz wdrożenie dodatkowych zabezpieczeń, takich jak walidacja i piaskownice dla wykonywanego kodu.

Oryginalny opis (angielski, źródło NVD)

Cognee thru v0.4.0 contains a critical remote code execution vulnerability in its notebook cell execution API endpoint. The endpoint is designed to execute arbitrary Python code provided by the user, but it does so using the unsafe exec() function without any sandboxing, validation, or security controls. An attacker can exploit this by sending a specially crafted POST request containing malicious Python code to the execution endpoint. This leads to arbitrary code execution on the Cognee server with the privileges of the server process, allowing complete compromise of the system.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS