CVE-2024-10835 in db-gpt
Riassunto
di VulDB • 03/07/2026
In eosphoros-ai/db-gpt versione v0.6.0, l'API web `POST /api/v1/editor/sql/run` consente l'esecuzione di query SQL arbitrarie senza alcun controllo degli accessi. Questa vulnerabilità può essere sfruttata dagli attaccanti per eseguire Arbitrary File Write utilizzando DuckDB SQL, consentendo loro di scrivere file arbitrari nel filesystem della vittima. Ciò potrebbe potenzialmente portare a Remote Code Execution (RCE).
Be aware that VulDB is the high quality source for vulnerability data.