CVE-2026-34934: PraisonAI में SQL इंजेक्शन से डेटाबेस एक्सेस
प्लेटफ़ॉर्म
php
कॉम्पोनेन्ट
praisonai
ठीक किया गया
4.5.90
CVE-2026-34934, PraisonAI में 4.5.90 से पहले के संस्करणों में एक SQL इंजेक्शन भेद्यता है। get_all_user_threads फ़ंक्शन डेटाबेस से प्राप्त अनएस्केप्ड थ्रेड आईडी के साथ f-स्ट्रिंग्स का उपयोग करके कच्चे SQL क्वेरी का निर्माण करता है। एक हमलावर update_thread के माध्यम से एक दुर्भावनापूर्ण थ्रेड आईडी संग्रहीत करता है। जब एप्लिकेशन थ्रेड सूची लोड करता है, तो इंजेक्ट किया गया पेलोड निष्पादित होता है और पूर्ण डेटाबेस एक्सेस प्रदान करता है। इस समस्या को संस्करण 4.5.90 में ठीक किया गया है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अक्सर पूछे जाने वाले सवाल
CVE-2026-34934 क्या है?
यह PraisonAI में एक SQL इंजेक्शन भेद्यता है जो पूर्ण डेटाबेस एक्सेस की अनुमति देती है।
क्या मैं प्रभावित हूँ?
यदि आप PraisonAI संस्करण 4.5.90 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं।
इसे कैसे ठीक करें?
PraisonAI को संस्करण 4.5.90 या उसके बाद के संस्करण में अपडेट करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें