一、 漏洞 CVE-2024-10252 基础信息
漏洞信息
# langgenius/dify 中的代码注入漏洞
## 概述
langgenius/dify 版本 <=v0.9.1 中存在代码注入漏洞,通过内部 SSRF 请求在 Dify 沙盒服务中利用该漏洞,允许攻击者以 root 权限在沙盒环境中执行任意 Python 代码,可能导致整个沙盒服务被删除,造成不可逆的损害。
## 影响版本
- <=v0.9.1
## 细节
该漏洞是通过内部 SSRF 请求注入代码,允许攻击者在 Dify 沙盒服务中执行任意 Python 代码,且具有 root 权限。
## 影响
攻击者可以利用此漏洞删除整个沙盒服务,造成不可逆的损害,从而导致服务中断。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Code Injection in langgenius/dify
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in langgenius/dify versions <=v0.9.1 allows for code injection via internal SSRF requests in the Dify sandbox service. This vulnerability enables an attacker to execute arbitrary Python code with root privileges within the sandbox environment, potentially leading to the deletion of the entire sandbox service and causing irreversible damage.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
dify 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
dify是LangGenius开源的一个开源的 LLM 应用程序开发平台。 dify v0.9.1及之前版本存在代码注入漏洞,该漏洞源于内部SSRF请求可能导致代码注入,从而删除整个沙箱服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10252 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-10252 的情报信息
-
标题: huntr - The world’s first bug bounty platform for AI/ML -- 🔗来源链接
标签:
-
标题: Update dify-sandbox version to 0.2.10 (#9439) · langgenius/dify@4ac99ff · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-10252
四、漏洞 CVE-2024-10252 的评论
暂无评论