Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-9gq6-6936-885w

Опубликовано: 12 сент. 2024
Источник: github
Github: Прошло ревью
CVSS4: 8.7
CVSS3: 8.8

Описание

MindsDB Eval Injection vulnerability

An arbitrary code execution vulnerability exists in versions 23.12.4.0 up to 24.7.4.1 of the MindsDB platform, when the ChromaDB integration is installed on the server. If a specially crafted ‘INSERT’ query containing Python code is run against a database created with the ChromaDB engine, the code will be passed to an eval function and executed on the server.

Ссылки

Пакеты

Наименование

mindsdb

pip
Затронутые версииВерсия исправления

>= 23.12.4.0, < 24.7.4.1

24.7.4.1

EPSS

Процентиль: 63%
0.00438
Низкий

8.7 High

CVSS4

8.8 High

CVSS3

CVE ID

CVE-2024-45848

Дефекты

CWE-94
CWE-95

Связанные уязвимости

nvd логотип

CVE-2024-45848

CVSS3: 8.8
nvd
больше 1 года назад

An arbitrary code execution vulnerability exists in versions 23.12.4.0 up to 24.7.4.1 of the MindsDB platform, when the ChromaDB integration is installed on the server. If a specially crafted ‘INSERT’ query containing Python code is run against a database created with the ChromaDB engine, the code will be passed to an eval function and executed on the server.

fstec логотип

BDU:2024-07411

CVSS3: 8.8
fstec
больше 1 года назад

Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 63%
0.00438
Низкий

8.7 High

CVSS4

8.8 High

CVSS3

CVE ID

CVE-2024-45848

Дефекты

CWE-94
CWE-95