Plateforme
python
Composant
pandasai-lancedb
Corrigé dans
0.1.1
0.1.2
0.1.3
0.1.4
0.1.5
La CVE-2026-4996 est une vulnérabilité d'injection SQL affectant l'extension PandasAI LanceDB. Elle permet à un attaquant distant d'exécuter des requêtes SQL arbitraires, potentiellement compromettant la base de données sous-jacente. Les versions affectées sont 0.1.0 à 0.1.4. Il n'existe actuellement aucun correctif officiel pour cette vulnérabilité.
Une vulnérabilité d'injection SQL a été identifiée dans PandasAI, spécifiquement dans l'extension pandasai-lancedb jusqu'à la version 0.1.4. Cette vulnérabilité affecte plusieurs fonctions à l'intérieur du fichier lancedb.py (plus précisément deletequestionandanswers, deletedocs, updatequestionanswer, updatedocs, getrelevantquestionanswersbyid, et getrelevantdocsbyid). Un attaquant distant peut exploiter cette vulnérabilité pour manipuler des requêtes SQL, potentiellement en accédant, en modifiant ou en supprimant des données sensibles stockées dans la base de données LanceDB utilisée par PandasAI. La disponibilité publique d'un exploit aggrave la situation, augmentant le risque d'attaques.
La vulnérabilité est exploitée par la manipulation des entrées fournies aux fonctions mentionnées dans lancedb.py. Étant donné la disponibilité publique de l'exploit, les attaquants peuvent l'utiliser pour injecter du code SQL malveillant qui sera exécuté sur la base de données LanceDB. La nature distante de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour le compromettre. Le risque est particulièrement élevé pour les organisations qui utilisent PandasAI dans des environnements de production avec des données sensibles.
Applications utilizing the PandasAI LanceDB Extension in versions 0.1.0 through 0.1.4 are at direct risk. This includes data science projects, AI applications, and any system relying on the extension for vector database interactions. Shared hosting environments where multiple applications share the same database are particularly vulnerable, as a compromise of one application could potentially lead to a compromise of the entire database.
• python / application: Inspect application logs for unusual SQL queries or error messages related to the vulnerable functions. Use a debugger to trace the execution flow and identify potential injection points. • generic web: Monitor web server access logs for requests containing suspicious SQL syntax or patterns targeting the affected endpoints. Use a WAF to detect and block malicious requests. • database (mysql, postgresql): Monitor database audit logs for unauthorized access attempts or suspicious SQL queries. Implement database activity monitoring (DAM) to detect and alert on anomalous behavior.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction (fix) officielle n'est fournie par les développeurs de PandasAI. L'atténuation immédiate la plus efficace est de mettre à niveau vers une version de PandasAI ultérieure à la 0.1.4 dès qu'elle sera disponible. En attendant, il est recommandé de restreindre l'accès à l'instance PandasAI et à la base de données LanceDB sous-jacente. La mise en œuvre d'une validation et d'une désinfection robustes des entrées utilisateur dans le code de votre application peut aider à atténuer le risque, bien que cela nécessite un examen approfondi du code. La surveillance de l'activité de la base de données à la recherche de schémas suspects est également essentielle.
Actualice la extensión pandasai-lancedb a una versión posterior a 0.1.4. Esto solucionará la vulnerabilidad de inyección SQL. Consulte la documentación de PandasAI para obtener instrucciones sobre cómo actualizar la extensión.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
PandasAI est une bibliothèque Python qui vous permet d'interagir avec les DataFrames Pandas en utilisant le langage naturel.
LanceDB est une base de données colonnaire haute performance, utilisée par l'extension pandasai-lancedb pour stocker et récupérer des données.
Si vous utilisez PandasAI avec l'extension pandasai-lancedb dans une version antérieure à 0.1.4, vous êtes probablement affecté.
Restreignez l'accès à votre instance PandasAI et à la base de données LanceDB. Mettez en œuvre la validation des entrées et surveillez l'activité de la base de données.
Consultez l'avis de vulnérabilité CVE-2026-4996 et les forums de la communauté PandasAI pour obtenir des mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.