Vulnerabilidad en vanna-ai/vanna (CVE-2024-5753)
Severidad:
ALTA
Type:
CWE-200
Revelación de información
Fecha de publicación:
05/07/2024
Última modificación:
08/07/2024
Descripción
La versión v0.3.4 de vanna-ai/vanna es vulnerable a la inyección de SQL en algunas funciones críticas de archivos como `pg_read_file()`. Esta vulnerabilidad permite a usuarios remotos no autenticados leer archivos locales arbitrarios en el servidor víctima, incluidos archivos confidenciales como `/etc/passwd`, explotando las consultas SQL expuestas a través de una API Python Flask.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA