Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en RDS Light (CVE-2024-48918)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
16/10/2024
Última modificación:
18/10/2024

Descripción

RDS Light es una versión simplificada del Reflective Dialogue System (RDS), un framework de trabajo de IA autorreflexivo. Las versiones anteriores a la 1.1.0 contienen una vulnerabilidad que implica una falta de validación de entrada dentro del framework de trabajo de IA de RDS, específicamente dentro del código de manejo de entrada del usuario en el módulo principal (`main.py`). Esto deja al framework abierto a ataques de inyección y posible manipulación de la memoria. Cualquier usuario o actor externo que proporcione información al sistema podría explotar esta vulnerabilidad para inyectar comandos maliciosos, corromper datos almacenados o afectar las llamadas de API. Esto es particularmente crítico para los usuarios que emplean RDS AI en entornos de producción donde interactúa con sistemas sensibles, realiza almacenamiento en caché de memoria dinámica o recupera datos específicos del usuario para su análisis. Las áreas afectadas incluyen desarrolladores que utilizan el sistema de IA de RDS como backend para aplicaciones impulsadas por IA y sistemas que ejecutan RDS AI que pueden estar expuestos a entornos no confiables o recibir entradas de usuario no verificadas. La vulnerabilidad ha sido corregida en la versión 1.1.0 del framework de trabajo de IA de RDS. Ahora, todas las entradas de los usuarios se desinfectan y validan con un conjunto de reglas diseñadas para mitigar el contenido malicioso. Los usuarios deben actualizar a la versión 1.1.0 o superior y asegurarse de que todas las dependencias estén actualizadas a sus últimas versiones. Para los usuarios que no puedan actualizar a la versión parcheada, se puede implementar una solución alternativa. El usuario que implemente la solución alternativa debe implementar verificaciones de validación personalizadas para las entradas de los usuarios a fin de filtrar caracteres y patrones no seguros (por ejemplo, intentos de inyección SQL, inyecciones de scripts) y limitar o eliminar las funciones que permiten la entrada de datos por parte del usuario hasta que se pueda aplicar el parche al sistema.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0
8.10
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información