开源Rasa 框架中发现严重漏洞,可导致远程代码执行

admin 2025年1月17日13:04:30评论6 views字数 656阅读2分11秒阅读模式
开源Rasa 框架中发现严重漏洞,可导致远程代码执行

在流行的开源 Rasa 框架中发现了一个严重漏洞 (CVE-2024-49375)。该漏洞的 CVSS 得分为 9.1,允许攻击者通过远程加载恶意制作的模型实现远程代码执行 (RCE)。

Rasa 广泛用于开发基于文本和语音的对话式人工智能应用,下载量已超过 2500 万次,已成为机器学习部署的基石。

根据 Rasa 的安全公告,该漏洞同时影响 Rasa Pro 和 Rasa Open Source。问题的根源在于使用 -enable-api 标志启用 HTTP API 时。正如该公告所解释的,“攻击者如果有能力将恶意制作的模型远程加载到 Rasa 实例中,就可以实现远程代码执行。”

公告强调了漏洞可被利用的两种情况:

未经验证的 RCE: 当 Rasa HTTP API 未配置身份验证或安全控制时,就会出现这种情况。

验证的 RCE: 这需要攻击者拥有有效的身份验证令牌或 JSON Web 标记 (JWT) 才能与 Rasa API 交互。

Rasa 已发布补丁来解决此关键问题。强烈建议用户升级到以下版本:

Rasa 专业版: 3.8.18, 3.9.16, 和 3.10.12

Rasa 开放源代码: 3.6.21

要完全缓解 CVE-2024-49375 漏洞,用户还必须使用已打补丁的版本重新训练模型。Rasa 建议开发人员检查其自定义组件,尤其是那些继承自受影响组件(如 CountVectorFeaturizer、DIETClassifier 和 TEDPolicy)的组件,以确保与更新软件的兼容性。

(来自:安全客)

开源Rasa 框架中发现严重漏洞,可导致远程代码执行

原文始发于微信公众号(天锐数据安全):开源Rasa 框架中发现严重漏洞,可导致远程代码执行

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月17日13:04:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   开源Rasa 框架中发现严重漏洞,可导致远程代码执行https://cn-sec.com/archives/3638954.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息