一、 漏洞 CVE-2024-55890 基础信息
漏洞信息
# D-Tale 允许通过自定义过滤器输入进行远程代码执行
## 概述
D-Tale 是一个用于可视化 pandas 数据结构的工具。在 3.16.1 版本之前,公开托管 D-Tale 的用户可能面临远程代码执行漏洞,允许攻击者在服务器上运行恶意代码。升级到 3.16.1 版本可以解决此问题,该版本阻止了用户更新 `enable_custom_filters` 标志。
## 影响版本
- 3.16.1 之前的版本
## 细节
在 3.16.1 版本之前的 `update-settings` 端点存在漏洞,允许攻击者通过更新 `enable_custom_filters` 标志来进行远程代码执行。3.16.1 版本修复了此漏洞,阻止了对该标志的更新。
## 影响
该漏洞可能导致远程代码执行,攻击者可以在服务器上运行恶意代码。建议用户升级到 3.16.1 版本进行防护,或者仅将 D-Tale 托管给可信任的用户。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2024-55890 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/samh4cks/CVE-2024-55890 | POC详情 |
三、漏洞 CVE-2024-55890 的情报信息
-
标题: GitHub - man-group/dtale: Visualizer for pandas data structures -- 🔗来源链接
标签: x_refsource_MISC
-
标题: Remote Code Execution through the Custom Filter Input using update-settings endpoint to turn on custom filters · Advisory · man-group/dtale · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
-
标题: https://github.com/man-group/dtale/issues/894: updates to 'update-set… · man-group/dtale@1e26ed3 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2024-55890
四、漏洞 CVE-2024-55890 的评论
暂无评论