Описание
Уязвимость функции eval() программной платформы генеративного искусственного интеллекта DocsGPT связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный python-код
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
DocsGPT
Версия ПО
от 0.8.1 до 0.13.0 (DocsGPT)
Тип ПО
ПО для разработки ИИ
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/advisories/GHSA-9gff-5v8w-x922
https://github.com/arc53/DocsGPT/releases/tag/0.13.0
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 95%
0.16047
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
nvd
12 месяцев назад
A vulnerability, that could result in Remote Code Execution (RCE), has been found in DocsGPT. Due to improper parsing of JSON data using eval() an unauthorized attacker could send arbitrary Python code to be executed via /api/remote endpoint.. This issue affects DocsGPT: from 0.8.1 through 0.12.0.
EPSS
Процентиль: 95%
0.16047
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2