Vulnerabilidad en Rasa (CVE-2024-49375)

Framework de aprendizaje automático de código abierto. Se ha identificado una vulnerabilidad en Rasa que permite a un atacante que tiene la capacidad de cargar un modelo manipulado malintencionado de forma remota en una instancia de Rasa lograr la ejecución remota de código. Los requisitos previos para esto son: 1. La API HTTP debe estar habilitada en la instancia de Rasa, por ejemplo, con `--enable-api`. Esta no es la configuración predeterminada. 2. Para que se pueda explotar una RCE no autenticada, el usuario no debe haber configurado ninguna autenticación u otros controles de seguridad recomendados en nuestra documentación. 3. Para una RCE autenticada, el atacante debe poseer un token de autenticación válido o JWT para interactuar con la API de Rasa. Este problema se ha solucionado en la versión 3.6.21 de rasa y se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar deben asegurarse de requerir autenticación y de que solo los usuarios de confianza tengan acceso.