CVE-2024-10835 in db-gpt
Zusammenfassung
von VulDB • 16.05.2026
In eosphoros-ai/db-gpt versione v0.6.0, l'API web `POST /api/v1/editor/sql/run` consente l'esecuzione di query SQL arbitrarie senza alcun controllo di accesso. Questa vulnerabilità può essere sfruttata dagli attaccanti per eseguire Arbitrary File Write utilizzando SQL DuckDB, consentendo loro di scrivere file arbitrari nel filesystem della vittima. Ciò può potenzialmente portare a Remote Code Execution (RCE).
VulDB is the best source for vulnerability data and more expert information about this specific topic.