Informazioni sul CVE-2024-8099

Server-Side Request Forgery (SSRF) in vanna-ai/vanna

CWE ID: CWE-918

Base Score (CVSS): N/A

CVE: CVE-2024-8099

Descrizione: A Server-Side Request Forgery (SSRF) vulnerability exists in the latest version of vanna-ai/vanna when using DuckDB as the database. An attacker can exploit this vulnerability by submitting crafted SQL queries that leverage DuckDB’s default features, such as `read_csv`, `read_csv_auto`, `read_text`, and `read_blob`, to make unauthorized requests to internal or external resources. This can lead to unauthorized access to sensitive data, internal systems, and potentially further attacks.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://huntr.com/bounties/19b96694-ed52-4ee4-8d2c-6cc7bd09c0ad

Prodotti interessati

vanna-ai – vanna-ai/vanna

Relazioni con altri prodotti

Produttore:vanna-ai
Prodotto: vanna-ai/vanna
Anno: 2024
CWE: CWE-918
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)