Plataforma
python
Componente
langchain-experimental
Corregido en
0.0.21
0.0.21
La vulnerabilidad CVE-2024-21513 afecta a versiones de langchain-experimental anteriores a 0.0.21. Esta falla permite la ejecución arbitraria de código Python si un atacante puede controlar la entrada del prompt y el servidor está configurado con VectorSQLDatabaseChain. La vulnerabilidad se manifiesta al intentar ejecutar la función 'eval' en los valores recuperados de la base de datos. La versión corregida es 0.0.21.
Un atacante que explote esta vulnerabilidad puede ejecutar código Python arbitrario en el servidor donde se ejecuta langchain-experimental. Esto podría resultar en la exfiltración de datos sensibles, la modificación de la configuración del sistema, o incluso el control completo del servidor. La ejecución del código ocurre dentro del componente langchain-experimental, lo que amplía el potencial impacto. Esta vulnerabilidad es particularmente preocupante en entornos donde la entrada del prompt proviene de fuentes no confiables, como usuarios externos o datos de terceros. La capacidad de ejecutar código arbitrario representa un riesgo significativo para la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad fue publicada el 15 de julio de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (ejecución arbitraria de código) la convierte en un objetivo atractivo para los atacantes. La vulnerabilidad se basa en la ejecución de 'eval' en datos controlados por el usuario, un patrón común en explotaciones de seguridad.
Applications utilizing langchain-experimental, particularly those employing VectorSQLDatabaseChain with user-controlled input, are at significant risk. This includes AI-powered applications, chatbots, and any system where user input is directly incorporated into database queries without proper sanitization. Shared hosting environments where multiple applications share the same server are also at increased risk, as a compromise of one application could potentially lead to the compromise of others.
• python / langchain-experimental:
import langchain_experimental
import os
# Check langchain-experimental version
print(langchain_experimental.__version__)
# Check for vulnerable configuration (VectorSQLDatabaseChain enabled)
# This requires inspecting the application's code and configuration files.
# Look for instances where VectorSQLDatabaseChain is instantiated and used.• generic web: Check for unusual Python code execution patterns in server logs, particularly around database interactions. Monitor for unexpected processes running with the application's user account.
disclosure
Estado del Exploit
EPSS
10.17% (93% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-21513 es actualizar a la versión 0.0.21 de langchain-experimental o superior. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de VectorSQLDatabaseChain o, en su defecto, sanitizar rigurosamente la entrada del prompt para prevenir la inyección de código malicioso. Implementar controles de acceso estrictos para limitar quién puede interactuar con el sistema también puede ayudar a reducir el riesgo. Considerar el uso de un entorno de ejecución aislado (sandbox) para limitar el impacto de cualquier código malicioso que se ejecute.
Actualice la biblioteca langchain-experimental a la versión 0.0.21 o superior. Esto corrige la vulnerabilidad de ejecución de código arbitrario al evitar el uso de 'eval' en los valores recuperados de la base de datos. Ejecute `pip install --upgrade langchain-experimental` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-21513 is a HIGH severity vulnerability in langchain-experimental versions up to 0.0.9 that allows attackers to execute arbitrary Python code through database value manipulation, impacting confidentiality, integrity, and availability.
You are affected if you are using langchain-experimental versions 0.0.15 or earlier. Check your installed version and upgrade immediately if vulnerable.
Upgrade to langchain-experimental version 0.0.21 or later. If immediate upgrade is not possible, disable VectorSQLDatabaseChain or implement strict input validation.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation makes it a high-priority concern.
Refer to the Langchain security advisories and release notes for details: [https://github.com/langchain-ai/langchain-experimental/security/advisories](https://github.com/langchain-ai/langchain-experimental/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.