CVE-2026-4505 eosphoros-ai — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,3 (MEDIUM)
Тип уязвимости	CWE-284 (Неправильный контроль доступа), CWE-434 (Неограниченная загрузка файлов)
Поставщик	eosphoros-ai
Публичный эксплойт	Нет

Уязвимость обнаружена в eosphoros-ai DB-GPT до версии 0.7.5. Эта проблема затрагивает функцию модуля_plugin.refresh_plugins файла packages/dbgpt-serve/src/dbgpt_serve/agent/hub/controller.py компонента FastAPI Endpoint. Такая манипуляция приводит к неограниченной загрузке.

Атаку можно запустить удаленно. Эксплойт был раскрыт публике и может быть использован. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.

Показать оригинальное описание (EN)

A vulnerability has been found in eosphoros-ai DB-GPT up to 0.7.5. This issue affects the function module_plugin.refresh_plugins of the file packages/dbgpt-serve/src/dbgpt_serve/agent/hub/controller.py of the component FastAPI Endpoint. Such manipulation leads to unrestricted upload. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.