Platform
python
Component
pandasai
Opgelost in
3.0.1
CVE-2026-4997 is een Path Traversal kwetsbaarheid in de issqlquerysafe functie van pandasai/helpers/sqlsanitizer.py in PandasAI. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om bestanden buiten de beoogde directory te benaderen. De impact is dat een kwaadwillende op afstand toegang kan krijgen tot gevoelige informatie of andere ongeautoriseerde acties kan uitvoeren. De kwetsbaarheid treft PandasAI versies 3.0 tot 3.0. Er is geen officiële patch beschikbaar.
Een 'path traversal'-kwetsbaarheid is ontdekt in PandasAI, die versies tot en met 3.0.0 treft. De kwetsbaarheid bevindt zich in de functie issqlquerysafe in het bestand pandasai/helpers/sqlsanitizer.py. Een aanvaller kan de invoer manipuleren om toegang te krijgen tot bestanden of mappen buiten de beoogde scope, waardoor mogelijk de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens in gevaar komt. De kwetsbaarheid is beoordeeld met CVSS 5.3, wat een matig risico aangeeft. De publieke publicatie van een exploit en het potentieel voor actieve uitbuiting verhogen de urgentie om dit probleem aan te pakken aanzienlijk. Het uitblijven van een reactie van de leverancier bemoeilijkt de situatie verder en vereist dat gebruikers proactieve maatregelen nemen om het risico te beperken.
De kwetsbaarheid bevindt zich in de functie issqlquery_safe, die bedoeld is om SQL-query's te valideren. Een aanvaller kan de invoer manipuleren om deze validatie te omzeilen en commando's uit te voeren die toegang tot willekeurige bestanden op het systeem mogelijk maken. De remote aard van de exploitatie betekent dat een aanvaller deze kwetsbaarheid kan benutten vanaf elke locatie met toegang tot de PandasAI-applicatie. De publieke publicatie van de exploit vergemakkelijkt de replicatie van de aanval en verhoogt het risico dat kwaadwillende actoren deze gebruiken. Het uitblijven van een reactie van de leverancier verergert de situatie, omdat er geen officiële patch beschikbaar is om u te beschermen tegen deze bedreiging.
Exploit Status
EPSS
0.07% (23% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een oplossing van de leverancier, is de onmiddellijke mitigatie om het gebruik van PandasAI te vermijden totdat een gepatchte versie wordt uitgebracht. Als het gebruik van PandasAI essentieel is, implementeer dan aanvullende beveiligingscontroles, zoals strenge validatie van gebruikersinvoer, het uitvoeren van de applicatie in een geïsoleerde omgeving (sandbox) en continue monitoring van de systeemactiviteit op tekenen van uitbuiting. Het beperken van de privileges van de account die PandasAI uitvoert, kan ook de potentiële impact van een succesvolle exploit minimaliseren. Het bijwerken naar de nieuwste versies van de PandasAI-afhankelijkheden kan ook helpen om het aanvalsoppervlak te verkleinen, hoewel dit de kwetsbaarheid niet garandeert.
Actualice la biblioteca PandasAI a una versión posterior a la 3.0. Dado que no hay una versión fija disponible, se recomienda monitorear el proyecto para futuras actualizaciones que aborden esta vulnerabilidad de path traversal. Alternativamente, revise y valide cuidadosamente las consultas SQL antes de pasarlas a la función is_sql_query_safe.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Path traversal is een kwetsbaarheid die een aanvaller in staat stelt om toegang te krijgen tot bestanden of mappen buiten de beoogde scope, vaak door de gebruikersinvoer te manipuleren.
Als u PandasAI versie 3.0.0 of lager gebruikt, bent u kwetsbaar. Controleer de systeemlogboeken op verdachte activiteiten.
Isoleer het getroffen systeem van het netwerk, maak een back-up van belangrijke gegevens en neem contact op met een cybersecurityprofessional voor beoordeling en herstel.
Totdat de leverancier een oplossing publiceert, vermijd dan het gebruik van PandasAI of implementeer aanvullende beveiligingscontroles, zoals invoervalidatie en uitvoering in een sandbox.
Het uitblijven van een reactie van de leverancier is zorgwekkend en bemoeilijkt het verkrijgen van een officiële oplossing. Houd de communicatie van de leverancier in de gaten voor updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.