一、 漏洞 CVE-2024-45595 基础信息
漏洞标题
D-Tale通过图表构建器中的查询输入允许远程代码执行
来源:AIGC 神龙大模型
漏洞描述信息
D-Tale是Pandas数据结构的可视化工具。公开托管D-Tale的用户可能面临远程代码执行的风险,允许攻击者在服务器上运行恶意代码。用户应该升级到3.14.1版本,在此版本中“自定义过滤器”输入默认被关闭。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
D-Tale allows Remote Code Execution through the Query input on Chart Builder
来源:美国国家漏洞数据库 NVD
漏洞描述信息
D-Tale is a visualizer for Pandas data structures. Users hosting D-Tale publicly can be vulnerable to remote code execution allowing attackers to run malicious code on the server. Users should upgrade to version 3.14.1 where the "Custom Filter" input is turned off by default.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Man D-Tale 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Man D-Tale是Man公司的一个 pandas 数据结构的可视化工具。 Man D-Tale 3.14.1之前版本存在跨站脚本漏洞,该漏洞源于容易受到远程代码执行攻击,允许攻击者在服务器上运行恶意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45595 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-45595 的情报信息

  • 标题: GitHub - man-group/dtale: Visualizer for pandas data structures -- 🔗来源链接

    标签: x_refsource_MISC

    GitHub - man-group/dtale: Visualizer for pandas data structures

  • 标题: Remote Code Execution through the Query input on Chart Builder · Advisory · man-group/dtale · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Remote Code Execution through the Query input on Chart Builder · Advisory · man-group/dtale · GitHub

  • 标题: Added check for custom filtering before using custom queries in charts · man-group/dtale@b6e3096 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Added check for custom filtering before using custom queries in charts · man-group/dtale@b6e3096 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-45595