一、 漏洞 CVE-2023-46134 基础信息
漏洞标题
D-Tale的自定义过滤器输入存在远程代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 D-Tale 是一个结合 Flask 后端和 React 前端来查看和分析 Pandas 数据结构的工具。在 3.7.0 版本之前,公开托管 D-Tale 的用户可能面临远程代码执行漏洞,允许攻击者在服务器上运行恶意代码。 ## 影响版本 - 3.7.0 版本之前的所有版本 ## 漏洞细节 - 远程代码执行漏洞是由于 "Custom Filter" 输入功能默认开启导致的。 - 漏洞在 3.7.0 版本中通过默认关闭 "Custom Filter" 输入来修复。 ## 影响 - 3.7.0 版本之前的用户应该确保只向受信任的用户托管 D-Tale。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
D-Tale vulnerable to Remote Code Execution through the Custom Filter Input
来源:美国国家漏洞数据库 NVD
漏洞描述信息
D-Tale is the combination of a Flask back-end and a React front-end to view & analyze Pandas data structures. Prior to version 3.7.0, users hosting D-Tale publicly can be vulnerable to remote code execution, allowing attackers to run malicious code on the server. This issue has been patched in version 3.7.0 by turning off "Custom Filter" input by default. The only workaround for versions earlier than 3.7.0 is to only host D-Tale to trusted users.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Tale 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Man Group D-Tale是Man Group公司的一个pandas数据结构的可视化工具。 D-Tale 3.7.0之前版本存在安全漏洞,该漏洞源于可能容易受到远程代码执行的攻击,从而允许攻击者在服务器上运行恶意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-46134 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-46134 的情报信息