Описание
An arbitrary code execution vulnerability exists in versions 23.10.5.0 up to 24.7.4.1 of the MindsDB platform, when the Microsoft SharePoint integration is installed on the server. For databases created with the SharePoint engine, an ‘INSERT’ query can be used for site column creation. If such a query is specially crafted to contain Python code and is run against the database, the code will be passed to an eval function and executed on the server.
Ссылки
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 23.10.5.0 (включая) до 24.7.4.1 (исключая)
cpe:2.3:a:mindsdb:mindsdb:*:*:*:*:*:*:*:*
EPSS
Процентиль: 68%
0.00555
Низкий
8.8 High
CVSS3
Дефекты
CWE-95
CWE-94
Связанные уязвимости
CVSS3: 8.8
fstec
больше 1 года назад
Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 68%
0.00555
Низкий
8.8 High
CVSS3
Дефекты
CWE-95
CWE-94