CVE-2024-5184

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-5184
The EmailGPT service contains a prompt injection vulnerability. The service uses an API service that allows a malicious user to inject a direct prompt and take over the service logic. Attackers can exploit the issue by forcing the AI service to leak the standard hard-coded system prompts and/or execute unwanted prompts. When engaging with EmailGPT by submitting a malicious prompt that requests harmful information, the system will respond by providing the requested data. This vulnerability can be exploited by any individual with access to the service.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector ADJACENT_NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://www.synopsys.com/blogs/software-security/cyrc-advisory-prompt-injection-emailgpt.html
Configurations

No configuration.

History

06 Jun 2024, 14:17

Type Values Removed Values Added
Summary
  • (es) El servicio EmailGPT contiene una vulnerabilidad de inyección rápida. El servicio utiliza un servicio API que permite a un usuario malintencionado inyectar un mensaje directo y hacerse cargo de la lógica del servicio. Los atacantes pueden aprovechar el problema obligando al servicio de inteligencia artificial a filtrar los mensajes estándar codificados del sistema y/o ejecutar mensajes no deseados. Al interactuar con EmailGPT enviando un mensaje malicioso que solicita información dañina, el sistema responderá proporcionando los datos solicitados. Esta vulnerabilidad puede ser aprovechada por cualquier persona con acceso al servicio.

05 Jun 2024, 18:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-06-05 18:15

Updated : 2024-06-06 14:17

NVD link : CVE-2024-5184

Mitre link : CVE-2024-5184

CVE.ORG link : CVE-2024-5184

JSON object : View

Products Affected

No product.

CWE
CWE-74

Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')