一、 漏洞 CVE-2024-45851 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在MindsDB平台版本23.10.5.0至24.7.4.1中,当服务器上安装了Microsoft SharePoint集成时,存在任意代码执行的漏洞。对于使用SharePoint引擎创建的数据库,可以通过“INSERT”查询创建列表项。如果构造这样的查询包含Python代码,并在数据库上运行,则代码将被传递给一个eval函数并在服务器上执行。 请注意,这是一个安全风险描述,意味着在特定情况下,恶意用户可能能够执行不受限制的代码,从而对服务器造成损害。这要求立即更新MindsDB平台或采取其他适当的安全措施来修复此漏洞。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An arbitrary code execution vulnerability exists in versions 23.10.5.0 up to 24.7.4.1 of the MindsDB platform, when the Microsoft SharePoint integration is installed on the server. For databases created with the SharePoint engine, an ‘INSERT’ query can be used for list item creation. If such a query is specially crafted to contain Python code and is run against the database, the code will be passed to an eval function and executed on the server.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
动态执行代码中指令转义处理不恰当(Eval注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
MindsDB 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MindsDB是MindsDB公司的一个新兴的低代码机器学习平台。 MindsDB 23.10.5.0版本至24.7.4.1版本存在安全漏洞,该漏洞源于存在任意代码执行漏洞,如果运行包含Python代码的特制INSERT查询来创建列表项,则代码将传递给eval函数并在服务器上执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45851 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-45851 的情报信息