Описание
An arbitrary code execution vulnerability exists in versions 23.12.4.0 up to 24.7.4.1 of the MindsDB platform, when the ChromaDB integration is installed on the server. If a specially crafted ‘INSERT’ query containing Python code is run against a database created with the ChromaDB engine, the code will be passed to an eval function and executed on the server.
Ссылки
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 23.12.4.0 (включая) до 24.7.4.1 (исключая)
cpe:2.3:a:mindsdb:mindsdb:*:*:*:*:*:*:*:*
EPSS
Процентиль: 63%
0.00438
Низкий
8.8 High
CVSS3
Дефекты
CWE-95
CWE-94
Связанные уязвимости
CVSS3: 8.8
fstec
больше 1 года назад
Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 63%
0.00438
Низкий
8.8 High
CVSS3
Дефекты
CWE-95
CWE-94