Plataforma
python
Componente
pandasai
Corregido en
2.4.1
2.4.3
La vulnerabilidad CVE-2024-12366 afecta a pandasai en versiones 2.4.2 y anteriores. Esta falla de seguridad permite la inyección de prompts, lo que resulta en la ejecución de código arbitrario en el sistema. Un atacante puede manipular la entrada para que pandasai ejecute comandos no autorizados, comprometiendo la seguridad del sistema. La actualización a la versión 2.4.1 soluciona esta vulnerabilidad.
La ejecución de código arbitrario (RCE) es el impacto principal de esta vulnerabilidad. Un atacante exitoso podría obtener control total sobre el sistema donde se ejecuta pandasai, permitiéndole instalar malware, robar datos confidenciales, o incluso utilizar el sistema como punto de apoyo para atacar otros sistemas en la red. La falta de validación de entrada permite a los atacantes inyectar código malicioso a través de prompts, eludiendo las protecciones de seguridad. Esta vulnerabilidad es particularmente preocupante en entornos donde pandasai se utiliza para procesar datos sensibles o interactuar con otros sistemas críticos.
Esta vulnerabilidad ha sido publicada públicamente el 11 de febrero de 2025. No se ha confirmado la explotación activa en campañas conocidas, pero la alta puntuación CVSS (9.8) indica un alto riesgo. La naturaleza de la vulnerabilidad, que permite la ejecución de código arbitrario, la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations and developers using pandasai in production environments, particularly those integrating it with sensitive data or critical systems, are at significant risk. Those relying on pandasai for automated data analysis or report generation are especially vulnerable, as they may not be actively monitoring prompts for malicious content. Users with limited security expertise or those who have not implemented robust input validation practices are also at higher risk.
• python / supply-chain:
import pandas as pd
import pandasai
# Check pandasai version
print(pandasai.__version__)
# Attempt to detect malicious code execution by injecting a simple prompt
# (This is a simplified example and may require more sophisticated techniques)
# pandasai.with_chat_session().run('print("Malicious code executed")')• generic web: Check for unusual process activity related to pandasai. Monitor system logs for unexpected Python script executions. • generic web: Review pandasai configuration files for any suspicious modifications or injected code.
disclosure
Estado del Exploit
EPSS
5.90% (91% percentil)
Vector CVSS
La mitigación principal es actualizar pandasai a la versión 2.4.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de la entrada del usuario para prevenir la inyección de prompts. Esto puede incluir el uso de listas blancas para permitir solo ciertos caracteres o patrones en la entrada, o el uso de técnicas de escape para neutralizar cualquier código malicioso. Monitorear los logs del sistema en busca de actividad sospechosa, como la ejecución de comandos inesperados, también puede ayudar a detectar y responder a ataques. Después de la actualización, confirme la mitigación ejecutando pruebas de inyección de prompts controladas.
Actualice la biblioteca PandasAI a una versión posterior a la 2.4.0 que corrija la vulnerabilidad de inyección de código. Consulte las notas de la versión y las actualizaciones de seguridad proporcionadas por Sinaptik AI para obtener instrucciones específicas sobre la actualización y las mitigaciones adicionales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12366 is a critical Remote Code Execution vulnerability in pandasai versions up to 2.4.2. Attackers can inject malicious prompts to execute arbitrary Python code, potentially compromising the entire system.
If you are using pandasai version 2.4.2 or earlier, you are vulnerable to this RCE vulnerability. Carefully assess your environment and upgrade as soon as possible.
Upgrade pandasai to version 2.4.1 or later. This version includes the necessary security fixes to prevent prompt injection attacks. Implement input validation as a temporary workaround if immediate upgrade is not possible.
While no active campaigns have been confirmed, the vulnerability's critical severity and ease of exploitation suggest it is a potential target. Continuous monitoring is recommended.
Refer to the pandasai project's official security advisories and release notes for detailed information and updates regarding CVE-2024-12366. Check the pandasai GitHub repository and documentation.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.