langchain_experimental (он же LangChain Experimental) в LangChain до 0.1.8 позволяет злоумышленнику обойти исправление CVE-2023-44467 и вып…
langchain_experimental (он же LangChain Experimental) в LangChain до 0.1.8 позволяет злоумышленнику обойти исправление CVE-2023-44467 и выполнить произвольный код через атрибуты __import__, __subclasses__, __builtins__, __globals__, __getattribute__, __bases__, __mro__ или __base__ в коде Python. Они не запрещены в pal_chain/base.py.
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| langchain-experimental | * | Отслеживается |