प्लेटफ़ॉर्म
python
घटक
pandasai-lancedb
में ठीक किया गया
0.1.1
0.1.2
0.1.3
0.1.4
0.1.5
CVE-2026-4996, PandasAI LanceDB Extension में मौजूद एक भेद्यता है जो SQL इंजेक्शन की अनुमति देती है। यह 0.1.4 तक के संस्करणों को प्रभावित करता है। हमलावर SQL इंजेक्शन के माध्यम से डेटा से समझौता कर सकते हैं। इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
PandasAI में एक SQL इंजेक्शन भेद्यता की पहचान की गई है, विशेष रूप से pandasai-lancedb एक्सटेंशन में संस्करण 0.1.4 से पहले। यह भेद्यता lancedb.py फ़ाइल में कई फ़ंक्शंस (विशेष रूप से deletequestionandanswers, deletedocs, updatequestionanswer, updatedocs, getrelevantquestionanswersbyid, और getrelevantdocsbyid) को प्रभावित करती है। एक दूरस्थ हमलावर इस भेद्यता का उपयोग SQL प्रश्नों में हेरफेर करने के लिए कर सकता है, जिससे PandasAI द्वारा उपयोग किए जा रहे LanceDB डेटाबेस में संग्रहीत संवेदनशील डेटा तक पहुंच, संशोधन या हटाने की संभावना हो सकती है। एक शोषण की सार्वजनिक उपलब्धता स्थिति को बढ़ाती है, जिससे हमलों का जोखिम बढ़ जाता है।
भेद्यता का शोषण lancedb.py में वर्णित फ़ंक्शंस को प्रदान किए गए इनपुट में हेरफेर करके किया जाता है। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए हमलावर LanceDB डेटाबेस पर निष्पादित होने वाले दुर्भावनापूर्ण SQL कोड को इंजेक्ट करने के लिए इसका उपयोग कर सकते हैं। शोषण की दूरस्थ प्रकृति का मतलब है कि हमलावर को सिस्टम से समझौता करने के लिए भौतिक पहुंच की आवश्यकता नहीं है। संवेदनशील डेटा वाले उत्पादन वातावरण में PandasAI का उपयोग करने वाले संगठनों के लिए जोखिम विशेष रूप से अधिक है।
Applications utilizing the PandasAI LanceDB Extension in versions 0.1.0 through 0.1.4 are at direct risk. This includes data science projects, AI applications, and any system relying on the extension for vector database interactions. Shared hosting environments where multiple applications share the same database are particularly vulnerable, as a compromise of one application could potentially lead to a compromise of the entire database.
• python / application: Inspect application logs for unusual SQL queries or error messages related to the vulnerable functions. Use a debugger to trace the execution flow and identify potential injection points. • generic web: Monitor web server access logs for requests containing suspicious SQL syntax or patterns targeting the affected endpoints. Use a WAF to detect and block malicious requests. • database (mysql, postgresql): Monitor database audit logs for unauthorized access attempts or suspicious SQL queries. Implement database activity monitoring (DAM) to detect and alert on anomalous behavior.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, PandasAI डेवलपर्स से कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। सबसे प्रभावी तत्काल शमन उपाय 0.1.4 से बाद के PandasAI संस्करण में अपग्रेड करना है, एक बार उपलब्ध होने पर। इस बीच, PandasAI इंस्टेंस और अंतर्निहित LanceDB डेटाबेस तक पहुंच को प्रतिबंधित करने की अनुशंसा की जाती है। आपके एप्लिकेशन कोड में मजबूत इनपुट सत्यापन और सैनिटाइजेशन को लागू करने से जोखिम को कम करने में मदद मिल सकती है, हालांकि इसके लिए गहन कोड समीक्षा की आवश्यकता होती है। डेटाबेस गतिविधि की निगरानी संदिग्ध पैटर्न के लिए भी महत्वपूर्ण है।
pandasai-lancedb एक्सटेंशन को 0.1.4 से बाद के संस्करण में अपडेट करें जो SQL इंजेक्शन (SQL Injection) भेद्यता को ठीक करता है। एक्सटेंशन को अपडेट करने के तरीके के बारे में विशिष्ट निर्देशों के लिए विक्रेता के दस्तावेज़ देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PandasAI एक पायथन लाइब्रेरी है जो आपको प्राकृतिक भाषा का उपयोग करके Pandas DataFrames के साथ इंटरैक्ट करने की अनुमति देती है।
LanceDB एक उच्च-प्रदर्शन कॉलम-आधारित डेटाबेस है, जिसका उपयोग PandasAI के pandasai-lancedb एक्सटेंशन द्वारा डेटा संग्रहीत और पुनर्प्राप्त करने के लिए किया जाता है।
यदि आप संस्करण 0.1.4 से पहले के pandasai-lancedb एक्सटेंशन के साथ PandasAI का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं।
अपने PandasAI इंस्टेंस और LanceDB डेटाबेस तक पहुंच को प्रतिबंधित करें। इनपुट सत्यापन को लागू करें और डेटाबेस गतिविधि की निगरानी करें।
अपडेट के लिए CVE-2026-4996 भेद्यता सलाहकार और PandasAI समुदाय मंच देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।