CVE-2026-34934: PraisonAI में SQL इंजेक्शन से डेटाबेस एक्सेस
प्लेटफ़ॉर्म
python
कॉम्पोनेन्ट
praisonai
ठीक किया गया
4.5.90
CVE-2026-34934, PraisonAI में 4.5.90 से पहले के संस्करणों में एक SQL इंजेक्शन भेद्यता है। get_all_user_threads फ़ंक्शन डेटाबेस से प्राप्त अनएस्केप्ड थ्रेड आईडी के साथ f-स्ट्रिंग्स का उपयोग करके कच्चे SQL क्वेरी का निर्माण करता है। एक हमलावर update_thread के माध्यम से एक दुर्भावनापूर्ण थ्रेड आईडी संग्रहीत करता है। जब एप्लिकेशन थ्रेड सूची लोड करता है, तो इंजेक्ट किया गया पेलोड निष्पादित होता है और पूर्ण डेटाबेस एक्सेस प्रदान करता है। इस समस्या को संस्करण 4.5.90 में ठीक किया गया है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अक्सर पूछे जाने वाले सवाल
CVE-2026-34934 क्या है?
यह PraisonAI में एक SQL इंजेक्शन भेद्यता है जो पूर्ण डेटाबेस एक्सेस की अनुमति देती है।
क्या मैं प्रभावित हूँ?
यदि आप PraisonAI संस्करण 4.5.90 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं।
इसे कैसे ठीक करें?
PraisonAI को संस्करण 4.5.90 या उसके बाद के संस्करण में अपडेट करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें