В классе ImageTextPromptValue в Exploding Gradients RAGAS версий 0.2.3–0.2.14 существует уязвимость, связанная с чтением произвольных файлов. Уязвимость связана с неправильной проверкой и очисткой URL-адресов, указанных в параметре извлекаемых_контекстов при обработке мультимодальных входных данных.
Показать оригинальное описание (EN)
An Arbitrary File Read vulnerability exists in the ImageTextPromptValue class in Exploding Gradients RAGAS v0.2.3 to v0.2.14. The vulnerability stems from improper validation and sanitization of URLs supplied in the retrieved_contexts parameter when handling multimodal inputs.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 4
https://adithyanak.com/ragas-v0214-arbitrary-file-read-vulnerability
cve@mitre.org
https://github.com/explodinggradients/ragas/blob/e97886ac976465efb60e5949c5d69b…
cve@mitre.org
https://github.com/explodinggradients/ragas/pull/1559
cve@mitre.org
https://github.com/vibrantlabsai/ragas/pull/1991
cve@mitre.org