CVE-2024-45846

ALT (8,8)

CVSS3: 7,7

MindsDB podria permetre que un atacant remot executi codi arbitrari al sistema, causat per una validació d’entrada incorrecta. En enviar una clàusula “SELECT WHERE” especialment dissenyada que conté codi Python, un atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari al sistema.

Sistemes Afectats

• MindsDB MindsDB – 23.10.3.0
• MindsDB MindsDB – 24.7.4.1

Remediació
Actualitzeu a la darrera versió de MindsDB, disponible al repositori GIT de MindsDB. Vegeu-ne les Referències.

Referències

• https://hiddenlayer.com/sai-security-advisory/2024-09-mindsdb/
• https://github.com/mindsdb/mindsdb