CVE-2024-10835 in db-gptinformazioni

Riassunto

di VulDB • 03/07/2026

In eosphoros-ai/db-gpt versione v0.6.0, l'API web `POST /api/v1/editor/sql/run` consente l'esecuzione di query SQL arbitrarie senza alcun controllo degli accessi. Questa vulnerabilità può essere sfruttata dagli attaccanti per eseguire Arbitrary File Write utilizzando DuckDB SQL, consentendo loro di scrivere file arbitrari nel filesystem della vittima. Ciò potrebbe potenzialmente portare a Remote Code Execution (RCE).

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

@huntr Ai

Prenotare

05/11/2024

Divulgazione

20/03/2025

Moderazione

accettato

CPE

pronto

EPSS

0.01083

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!