Vulnerabilidad en bagofwords de bagofwords1 (CVE-2026-4500)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
20/03/2026
Última modificación:
22/04/2026
Descripción
Una vulnerabilidad fue identificada en bagofwords1 bagofwords hasta la versión 0.0.297. Esto afecta la función generate_df del archivo backend/app/ai/code_execution/code_execution.py. Dicha manipulación conduce a inyección. El ataque puede ser lanzado remotamente. El exploit está disponible públicamente y podría ser utilizado. Actualizar a la versión 0.0.298 solucionará este problema. El nombre del parche es 47b20bcda31264635faff7f6b1c8095abe1861c6. Se recomienda actualizar el componente afectado.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/Ka7arotto/cve/blob/main/bagofwords-rce.md
- https://github.com/bagofwords1/bagofwords/
- https://github.com/bagofwords1/bagofwords/commit/47b20bcda31264635faff7f6b1c8095abe1861c6
- https://github.com/bagofwords1/bagofwords/issues/60
- https://github.com/bagofwords1/bagofwords/pull/63
- https://github.com/bagofwords1/bagofwords/releases/tag/v0.0.298
- https://vuldb.com/?ctiid.352065
- https://vuldb.com/?id.352065
- https://vuldb.com/?submit.773890