Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu DocsGPT
20 lutego 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-0868
Data publikacji 20 lutego 2025
Producent podatnego oprogramowania Arc53
Nazwa podatnego oprogramowania DocsGPT
Podatne wersje Od 0.8.1 do 0.12.0 włącznie
Typ podatności (CWE) Improper Neutralization of Special Elements used in a Command ('Command Injection') (CWE-77)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu DocsGPT i koordynował proces ujawniania informacji.

Podatność CVE-2025-0868 umożliwia zdalne wykonanie kodu przez nieuwierzytelnionego użytkownika. Parsowanie obiektów JSON za pomocą funkcji eval() pozwala atakującemu na uruchomienie dowolnego kodu napisanego w języku Python na serwerze za pomocą endpointu /api/remote.

Podatność dotyczy wersji od 0.8.1 do 0.12.0 włącznie.

Podziękowania

Za zgłoszenie podatności dziękujemy Erykowi Winiarzowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.