Vulnerabilidad en AutoGPT (CVE-2024-1881)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

06/06/2024

Última modificación:

08/10/2024

Descripción

AutoGPT, un componente de significant-gravitas/autogpt, es vulnerable a una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (&#39;Inyección de comando del sistema operativo&#39;) debido a una falla en su función de validación del comando de shell. Específicamente, la vulnerabilidad existe en las versiones v0.5.0 hasta la 5.1.0, pero no incluida. El problema surge del método de la aplicación para validar los comandos del shell con una lista de permitidos o de denegados, donde solo verifica la primera palabra del comando. Esto permite a un atacante eludir las restricciones previstas creando comandos que se ejecutan a pesar de no estar en la lista de permitidos o incluyendo comandos maliciosos que no están presentes en la lista de prohibidos. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar comandos de shell arbitrarios.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto