Объятия лица Smolagents версии 1.20.0 содержит уязвимость инъекций XPath в функции search_item_ctrl_f, расположенную в src/smolagents/visio…
Объятия лица Smolagents версии 1.20.0 содержит уязвимость инъекций XPath в функции search_item_ctrl_f, расположенную в src/smolagents/vision_web_browser.py. Функция конструирует запрос XPath путем непосредственной конкатенации пользовательского ввода в экспрессию XPath без надлежащей санации или побега. Это позволяет злоумышленнику вводить вредоносный синтаксис XPath, который может изменить логику предполагаемого запроса. Уязвимость позволяет злоумышленникам обходить фильтры поиска, получать доступ к непреднамеренным элементам DOM и нарушать рабочие процессы автоматизации веб-автоматизации. Это может привести к раскрытию информации, манипулированию взаимодействиями с агентами ИИ и поставить под угрозу надежность автоматизированных веб-задач. Выпуск исправлен в версии 1.22.0.
Программный продукт использует внешние входные данные для динамического формирования XPath-выражения, применяемого для извлечения данных из XML-базы данных, однако не нейтрализует или некорректно нейтрализует эти входные данные. Это позволяет злоумышленнику управлять структурой запроса.
https://cwe.mitre.org/data/definitions/643.html →Открыть в коллекции CWE →