关键信息 漏洞标题: letta-ai letta >=v0.4.1 Code Injection 描述: - Letta (formerly MemGPT) 是一个具有内存、推理和上下文管理功能的状态代理框架。 - 由于使用了 函数,此代码易受 CWE-94 代码注入的影响。 - 函数处理字符串映射。当映射以 "Running" 开头并匹配特定正则表达式时,函数提取 和 。 - 对于某些 值,它使用 执行 字符串作为 Python 表达式。 - 问题在于攻击者可以控制映射输入,从而在调用 时在字符串的 部分中注入恶意 Python 代码。 - 这可能导致未经授权的系统访问、数据泄露或其他安全风险。 来源: https://github.com/letta-ai/letta/issues/2613 提交者: yuewen (UID #12345) 提交日期: 2023-08-31 13:45 审核日期: 2023-09-10 13:45 状态: [绿色图标] VulDB 条目: [紫色图标] letta-ai letta up to 0 & 1 Tensor(letta/interface.py function_message_function_name/function_args eval injection) 积分: 20