UNKNOWNCVE-2026-4996
CVE-2026-4996: PandasAI LanceDB 拡張の SQL インジェクション
プラットフォーム
python
コンポーネント
pandasai-lancedb
CVE-2026-4996 は、Sinaptik AI PandasAI の pandasai-lancedb 拡張における SQL インジェクションの脆弱性です。extensions/ee/vectorstores/lancedb/pandasai_lancedb/lancedb.py ファイルの特定の関数(delete_question_and_answersなど)の操作により、SQL インジェクションが発生する可能性があります。この脆弱性により、攻撃者はデータベースへの不正アクセスやデータの改ざんを行う可能性があります。影響を受けるバージョンは 0.1.0–0.1.4 です。現時点では、公式な修正パッチは提供されていません。
修正方法
pandasai-lancedb Extension を、SQLインジェクションの脆弱性を修正した 0.1.4 以降のバージョンにアップデートしてください。Extension のアップデート方法に関する具体的な手順については、ベンダーのドキュメントを参照してください。
よくある質問
CVE-2026-4996 とは何ですか?
PandasAI の SQL インジェクション脆弱性で、特定の関数操作により発生します。
影響を受ける可能性はありますか?
PandasAI のバージョン 0.1.0–0.1.4 を使用している場合は、影響を受ける可能性があります。
どのように対策すれば良いですか?
現時点では公式な修正パッチが提供されていないため、PandasAI の使用を控えるなど、リスクを軽減する対策を検討してください。ベンダーからの情報公開を注意深く確認してください。