CrewAI содержит уязвимость подделки запросов на стороне сервера, которая позволяет получать контент из внутренних и облачных служб, чему способствует то, что инструменты поиска RAG не проверяют должным образом URL-адреса, предоставленные во время выполнения.
Показать оригинальное описание (EN)
CrewAI contains a server-side request forgery vulnerability that enables content acquisition from internal and cloud services, facilitated by the RAG search tools not properly validating URLs provided at runtime.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Crewai Crewai
cpe:2.3:a:crewai:crewai:1.0:*:*:*:*:*:*:*
|
— | — |