Plateforme
python
Composant
pandasai
Corrigé dans
3.0.1
La vulnérabilité CVE-2026-4997 est une faille de type Path Traversal affectant PandasAI jusqu'à la version 3.0.0. Elle permet une manipulation non autorisée via la fonction issqlquerysafe du fichier pandasai/helpers/sqlsanitizer.py, pouvant mener à un accès non autorisé au système. Les versions affectées sont les versions 3.0 à 3.0. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité de 'path traversal' a été découverte dans PandasAI, affectant les versions jusqu'à la 3.0.0. La vulnérabilité réside dans la fonction issqlquerysafe du fichier pandasai/helpers/sqlsanitizer.py. Un attaquant peut manipuler l'entrée pour accéder à des fichiers ou des répertoires en dehors de la portée prévue, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des données. La vulnérabilité est notée CVSS 5.3, indiquant un risque modéré. La publication publique d'un exploit et son potentiel d'exploitation active augmentent considérablement l'urgence de résoudre ce problème. Le manque de réponse du fournisseur complique encore la situation, obligeant les utilisateurs à prendre des mesures d'atténuation proactives.
La vulnérabilité réside dans la fonction issqlquery_safe, conçue pour valider les requêtes SQL. Un attaquant peut manipuler l'entrée pour contourner cette validation et exécuter des commandes qui permettent l'accès à des fichiers arbitraires sur le système. La nature à distance de l'exploitation signifie qu'un attaquant peut exploiter cette vulnérabilité depuis n'importe où avec accès à l'application PandasAI. La publication publique de l'exploit facilite la réplication de l'attaque et augmente le risque que des acteurs malveillants l'utilisent. Le manque de réponse du fournisseur aggrave la situation, car il n'y a pas de correctif officiel disponible pour se protéger contre cette menace.
Statut de l'Exploit
EPSS
0.07% (percentile 23%)
CISA SSVC
Vecteur CVSS
Compte tenu de l'absence de correctif fourni par le fournisseur, l'atténuation immédiate consiste à éviter d'utiliser PandasAI jusqu'à ce qu'une version corrigée soit publiée. Si l'utilisation de PandasAI est essentielle, mettez en œuvre des contrôles de sécurité supplémentaires, tels que la validation stricte des entrées utilisateur, l'exécution de l'application dans un environnement isolé (sandbox) et la surveillance continue de l'activité du système à la recherche de signes d'exploitation. Limiter les privilèges du compte exécutant PandasAI peut également minimiser l'impact potentiel d'une exploitation réussie. La mise à jour vers les dernières versions des dépendances de PandasAI peut également aider à réduire la surface d'attaque, bien qu'elle ne garantisse pas l'élimination de la vulnérabilité.
Actualice la biblioteca PandasAI a una versión posterior a la 3.0. Dado que no hay una versión fija disponible, se recomienda monitorear el proyecto para futuras actualizaciones que aborden esta vulnerabilidad de path traversal. Alternativamente, revise y valide cuidadosamente las consultas SQL antes de pasarlas a la función is_sql_query_safe.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le path traversal est une vulnérabilité qui permet à un attaquant d'accéder à des fichiers ou des répertoires en dehors de la portée prévue, en manipulant souvent l'entrée utilisateur.
Si vous utilisez PandasAI version 3.0.0 ou antérieure, vous êtes vulnérable. Examinez les journaux du système à la recherche d'une activité suspecte.
Isolez le système affecté du réseau, sauvegardez les données importantes et contactez un professionnel de la cybersécurité pour une évaluation et une remédiation.
Jusqu'à ce que le fournisseur publie un correctif, évitez d'utiliser PandasAI ou mettez en œuvre des contrôles de sécurité supplémentaires, tels que la validation des entrées et l'exécution dans un sandbox.
Le manque de réponse du fournisseur est préoccupant et entrave l'obtention d'une solution officielle. Surveillez les communications du fournisseur pour obtenir des mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.