发布日期：2024-11-14
更新日期：2024-12-26

受影响系统：

PrivateGPT PrivateGPT <= 0.3.0

描述：

---

CVE(CAN) ID: CVE-2024-4343

PrivateGPT是Zylon开源的一个AI项目。
PrivateGPT 0.3.0及之前版本的imartinez/privategpt程序的`./private_gpt/components/llm/custom/sagemaker.py中的SagemakerLLM类的complete()方法存在Python命令注入漏洞，该漏洞源于程序使用eval()函数解析接收的字符串，攻击者可利用该漏洞执行任意Python代码。

<**>

建议：

---

厂商补丁：

PrivateGPT
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/zylon-ai/private-gpt/releases/tag/v0.6.2

浏览次数：370
严重程度：0（网友投票）