Sinaptik AI PandasAI sql_sanitizer.py is_sql_query_safe पथ ट्रैवर्सल (path traversal)

PandasAI के संस्करण 3.0.0 और उससे पहले में एक 'पाथ ट्रावर्सल' भेद्यता (vulnerability) खोजी गई है। यह भेद्यता फ़ाइल pandasai/helpers/sqlsanitizer.py में issqlquerysafe फ़ंक्शन में मौजूद है। एक हमलावर इनपुट में हेरफेर करके इच्छित दायरे से बाहर फ़ाइलों या निर्देशिकाओं तक पहुंच सकता है, जिससे डेटा की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। इस भेद्यता को CVSS 5.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। एक शोषण (exploit) का सार्वजनिक प्रकाशन और सक्रिय शोषण की इसकी क्षमता इस मुद्दे को हल करने की तात्कालिकता को बढ़ाती है। विक्रेता की प्रतिक्रिया न होने से स्थिति और जटिल हो जाती है, जिससे उपयोगकर्ताओं को सक्रिय शमन (mitigation) कदम उठाने की आवश्यकता होती है।

1. आरक्षित2026-03-27
2. प्रकाशित2026-03-28
3. संशोधित2026-03-30
4. EPSS अद्यतन2026-04-04

विक्रेता द्वारा कोई फिक्स प्रदान नहीं किए जाने के कारण, तत्काल शमन (mitigation) PandasAI का उपयोग तब तक न करने है जब तक कि एक पैच किया गया संस्करण जारी न हो जाए। यदि PandasAI का उपयोग आवश्यक है, तो अतिरिक्त सुरक्षा नियंत्रण लागू करें, जैसे कि सख्त उपयोगकर्ता इनपुट सत्यापन, एक अलग वातावरण (sandbox) में एप्लिकेशन चलाना और शोषण के संकेतों के लिए सिस्टम गतिविधि की निरंतर निगरानी करना। PandasAI चलाने वाले खाते की विशेषाधिकारों को सीमित करने से भी सफल शोषण के संभावित प्रभाव को कम किया जा सकता है। PandasAI की निर्भरताओं को नवीनतम संस्करणों में अपडेट करने से भी हमले की सतह को कम करने में मदद मिल सकती है, हालांकि यह भेद्यता को हटाने की गारंटी नहीं देता है।