प्लेटफ़ॉर्म
python
घटक
praisonai
में ठीक किया गया
4.5.91
4.5.90
CVE-2026-34934, PraisonAI में 4.5.90 से पहले के संस्करणों में एक SQL इंजेक्शन भेद्यता है। getalluserthreads फ़ंक्शन डेटाबेस से प्राप्त अनएस्केप्ड थ्रेड आईडी के साथ f-स्ट्रिंग्स का उपयोग करके कच्चे SQL क्वेरी का निर्माण करता है। एक हमलावर updatethread के माध्यम से एक दुर्भावनापूर्ण थ्रेड आईडी संग्रहीत करता है। जब एप्लिकेशन थ्रेड सूची लोड करता है, तो इंजेक्ट किया गया पेलोड निष्पादित होता है और पूर्ण डेटाबेस एक्सेस प्रदान करता है। इस समस्या को संस्करण 4.5.90 में ठीक किया गया है।
PraisonAI में CVE-2026-34934 भेद्यता एक हमलावर को डेटाबेस तक पूरी पहुंच प्राप्त करने की अनुमति देती है। यह getalluserthreads फ़ंक्शन में त्रुटि के कारण है, जो SQL प्रश्नों का निर्माण करते समय थ्रेड आईडी को ठीक से सैनिटाइज नहीं करता है। एक हमलावर updatethread फ़ंक्शन के माध्यम से थ्रेड आईडी में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। जब एप्लिकेशन थ्रेड सूची लोड करता है, तो यह इंजेक्ट किया गया पेलोड निष्पादित होता है, जिससे हमलावर डेटाबेस पर मनमाना कमांड निष्पादित कर सकता है। इस भेद्यता की गंभीरता उच्च है (CVSS 9.8) क्योंकि यह डेटा की अखंडता और गोपनीयता से समझौता कर सकती है।
एक हमलावर update_thread फ़ंक्शन का उपयोग करके डेटाबेस में दुर्भावनापूर्ण थ्रेड आईडी संग्रहीत करके इस भेद्यता का शोषण कर सकता है। इस दुर्भावनापूर्ण थ्रेड आईडी में इंजेक्ट किया गया SQL कोड होगा। जब एप्लिकेशन उपयोगकर्ता थ्रेड सूची प्राप्त करने का प्रयास करता है, तो परिणामी SQL क्वेरी इंजेक्ट किए गए कोड के साथ निष्पादित होगी, जिससे हमलावर को डेटाबेस तक पहुंचने और मनमाना कमांड निष्पादित करने की अनुमति मिलती है।
Organizations deploying praisonai, particularly those using older versions (≤4.5.9) and those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment through a single praisonai instance.
• python / server:
grep -r "await data_layer.update_thread(thread_id=" .*/sql_alchemy.py• python / server:
journalctl -u praisonai -f | grep "SQL error"• generic web:
curl -I http://your-praisonai-instance/threads?thread_id='; DROP TABLE users;--disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, PraisonAI को संस्करण 4.5.90 या उच्चतर में अपडेट करने की अनुशंसा की जाती है। इस संस्करण में एक फिक्स शामिल है जो SQL प्रश्नों में उपयोग करने से पहले थ्रेड आईडी को सैनिटाइज करता है। इसके अतिरिक्त, किसी भी अन्य उदाहरण की पहचान करने और ठीक करने के लिए स्रोत कोड की समीक्षा करें जहां f-strings का उपयोग उचित सैनिटाइजेशन के बिना SQL प्रश्नों का निर्माण करने के लिए किया जाता है। डेटाबेस खातों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने से भी संभावित शोषण के प्रभाव को सीमित करने में मदद मिल सकती है।
Actualice PraisonAI a la versión 4.5.90 o superior para mitigar la vulnerabilidad de inyección SQL de segundo orden. Asegúrese de que las consultas SQL no construyan consultas SQL dinámicas con datos no escapados de la base de datos. Valide y escape adecuadamente todas las entradas del usuario antes de usarlas en consultas SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो एक हमलावर को SQL क्वेरी में दुर्भावनापूर्ण SQL कोड डालने की अनुमति देती है, जिससे उन्हें संवेदनशील डेटा तक पहुंचने, डेटा को संशोधित करने या सर्वर पर कमांड निष्पादित करने की अनुमति मिल सकती है।
यदि आप PraisonAI के 4.5.90 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः इस भेद्यता से प्रभावित हैं। अपने स्थापित संस्करण की जांच करें और जितनी जल्दी हो सके अपडेट करें।
यदि आपको संदेह है कि आपका डेटाबेस समझौता किया गया है, तो आपको तुरंत अपनी सुरक्षा टीम को सूचित करना चाहिए और क्षति को नियंत्रित करने के लिए कदम उठाने चाहिए, जैसे कि पासवर्ड बदलना और ऑडिट लॉग की समीक्षा करना।
ऐसे कई उपकरण हैं जो आपको SQL इंजेक्शन का पता लगाने में मदद कर सकते हैं, जिनमें स्थैतिक कोड विश्लेषण उपकरण और प्रवेश परीक्षण उपकरण शामिल हैं।
PraisonAI को अपडेट करने के अलावा, आप अन्य सुरक्षा उपाय कर सकते हैं, जैसे कि न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना, पैरामीटराइज़्ड क्वेरी का उपयोग करना और सभी उपयोगकर्ता इनपुट को मान्य करना।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।