Версии Agno до 2.3.24 содержат уязвимость выполнения произвольного кода в компоненте выполнения модели, которая позволяет злоумышленникам выполнять произвольный код Python, манипулируя параметром field_type, переданным в eval(). Злоумышленники могут повлиять на значение field_type в FunctionCall, чтобы добиться удаленного выполнения кода.
Показать оригинальное описание (EN)
Agno versions prior to 2.3.24 contain an arbitrary code execution vulnerability in the model execution component that allows attackers to execute arbitrary Python code by manipulating the field_type parameter passed to eval(). Attackers can influence the field_type value in a FunctionCall to achieve remote code execution.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0