Vulnerabilidad en langchain-experimental (CVE-2024-21513)

Las versiones del paquete langchain-experimental desde 0.0.15 y anteriores a 0.0.21 son vulnerables a la ejecución de código arbitrario cuando se recuperan valores de la base de datos; el código intentará llamar a 'eval' en todos los valores. Un atacante puede aprovechar esta vulnerabilidad y ejecutar código Python arbitrario si puede controlar el mensaje de entrada y el servidor está configurado con VectorSQLDatabaseChain. **Notas:** Impacto en la confidencialidad, integridad y disponibilidad del componente vulnerable: Confidencialidad: la ejecución del código ocurre dentro del componente afectado, en este caso langchain-experimental, por lo que todos los recursos son necesariamente accesibles. Integridad: No hay nada protegido inherentemente por el componente afectado. Aunque cualquier cosa devuelta por el componente cuenta como "información" cuya confiabilidad puede verse comprometida. Disponibilidad: la pérdida de disponibilidad no es causada por el ataque en sí, sino que ocurre como resultado durante los pasos posteriores a la explotación del atacante. Impacto en la confidencialidad, integridad y disponibilidad del sistema posterior: como usuario legítimo con pocos privilegios del paquete (PR:L), el atacante no tiene más acceso a los datos propiedad del paquete como resultado de esta vulnerabilidad que antes. con uso normal (por ejemplo, puede consultar la base de datos). La acción no intencionada que se puede realizar al salir del entorno de la aplicación y filtrar archivos, realizar conexiones remotas, etc., ocurre durante la fase posterior a la explotación en el sistema posterior, en este caso, el sistema operativo. AT:P: Un atacante debe poder influir en el mensaje de entrada, mientras el servidor está configurado con el complemento VectorSQLDatabaseChain.