Sinaptik AI PandasAI चैट संदेश code_executor.py CodeExecutor.execute कोड इंजेक्शन (Code Injection)

PandasAI के संस्करण 3.0.0 और उससे पहले में एक कोड इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता फ़ाइल pandasai/core/codeexecution/codeexecutor.py में CodeExecutor.execute फ़ंक्शन में मौजूद है, जो चैट संदेश हैंडलर घटक का हिस्सा है। एक दुर्भावनापूर्ण हमलावर इस कमजोरी का फायदा उठाकर दूरस्थ रूप से मनमाना कोड निष्पादित कर सकता है। इस भेद्यता को CVSS स्कोर 7.3 दिया गया है, जो मध्यम से उच्च जोखिम का संकेत देता है। शोषण कोड की सार्वजनिक उपलब्धता और प्रारंभिक प्रकटीकरण सूचनाओं के प्रति विक्रेता की प्रतिक्रिया की कमी से सफल हमलों की संभावना बढ़ जाती है। इससे PandasAI द्वारा संसाधित डेटा की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है, खासकर उन वातावरणों में जहां संवेदनशील जानकारी को संभाला जाता है या महत्वपूर्ण कार्यों को स्वचालित किया जाता है।

Organizations and individuals utilizing PandasAI for data analysis and chatbot applications are at risk, particularly those running versions 3.0.0 or earlier. This includes developers integrating PandasAI into their applications and users relying on PandasAI-powered chatbots for data-driven interactions. Shared hosting environments where PandasAI is deployed could also be vulnerable if the underlying system is compromised.

• python / pandasai:

import pandasai
import os

def check_pandasai_version():
    try:
        version = pandasai.__version__
        print(f"PandasAI version: {version}")
        if version <= '3.0.0':
            print("WARNING: Vulnerable version detected. Upgrade recommended.")
        else:
            print("PandasAI version is up to date.")
    except ImportError:
        print("PandasAI is not installed.")

check_pandasai_version()

1. 2026-03-28Disclosure

   disclosure

1. आरक्षित2026-03-27
2. प्रकाशित2026-03-28
3. संशोधित2026-03-30
4. EPSS अद्यतन2026-04-04

वर्तमान में, PandasAI विक्रेता द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। सबसे प्रभावी शमन उपाय PandasAI का उपयोग तब तक न करना है जब तक कि भेद्यता को संबोधित करने वाला एक अपडेट जारी न हो जाए। यदि PandasAI का उपयोग आवश्यक है, तो अतिरिक्त सुरक्षा नियंत्रण लागू करें, जैसे कि सीमित अनुमतियों के साथ सैंडबॉक्स वातावरण में इसे चलाना। सिस्टम को शोषण के संकेतों के लिए सक्रिय रूप से मॉनिटर करना महत्वपूर्ण है। इसके अतिरिक्त, PandasAI को प्रदान किए गए सभी डेटा इनपुट को सावधानीपूर्वक समीक्षा और मान्य करें ताकि दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सके। सुरक्षा समुदाय वैकल्पिक समाधानों और पैच पर काम कर रहा है, इसलिए नवीनतम समाचारों और सिफारिशों से अपडेट रहना उचित है।