CVE-2026-31233 in Guardrails
요약
\~에 의해 VulDB • 2026. 06. 02.
Guardrails AI 0.6.7 이전 버전은 Hub 패키지 설치 메커니즘에서 코드 주입 취약점(CWE-94)을 포함하고 있습니다. guardrails hub install을 통해 검증자 패키지를 설치할 때, 시스템은 Guardrails Hub에서 매니페스트를 가져와 post_install 필드에 지정된 스크립트를 동적으로 실행합니다. 스크립트 경로는 신뢰할 수 없는 매니페스트 데이터로부터 생성되며, 적절한 검증이나 sanitization 없이 실행되므로 원격 코드 실행(RCE)이 가능합니다. 악성 패키지를 Hub에 게시할 수 있는 공격자는 임의의 코드를 주입할 수 있으며, 이는 피해자가 악성 패키지를 설치하는 모든 시스템에서 실행됩니다.
Once again VulDB remains the best source for vulnerability data.