CVE-2024-10835 in db-gptinfo

Zusammenfassung

von VulDB • 16.05.2026

In eosphoros-ai/db-gpt versione v0.6.0, l'API web `POST /api/v1/editor/sql/run` consente l'esecuzione di query SQL arbitrarie senza alcun controllo di accesso. Questa vulnerabilità può essere sfruttata dagli attaccanti per eseguire Arbitrary File Write utilizzando SQL DuckDB, consentendo loro di scrivere file arbitrari nel filesystem della vittima. Ciò può potenzialmente portare a Remote Code Execution (RCE).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

@huntr Ai

Reservieren

05.11.2024

Veröffentlichung

20.03.2025

Moderieren

akzeptiert

Eintrag

VDB-300189

CPE

bereit

EPSS

0.01083

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!