Описание
Уязвимость библиотеки pgai связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
pgai
Версия ПО
- (pgai)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/timescale/pgai/security/advisories/GHSA-89qq-hgvp-x37m
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 16%
0.00052
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.1
nvd
8 месяцев назад
pgai is a Python library that transforms PostgreSQL into a retrieval engine for RAG and Agentic applications. Prior to commit 8eb3567, the pgai repository was vulnerable to an attack allowing the exfiltration of all secrets used in one workflow. In particular, the GITHUB_TOKEN with write permissions for the repository, allowing an attacker to tamper with all aspects of the repository, including pushing arbitrary code and releases. This issue has been patched in commit 8eb3567.
EPSS
Процентиль: 16%
0.00052
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2