Plataforma
python
Componente
pandasai-lancedb
Corrigido em
0.1.1
0.1.2
0.1.3
0.1.4
0.1.5
CVE-2026-4996 descreve uma vulnerabilidade de SQL Injection encontrada na extensão PandasAI LanceDB. Essa falha permite que atacantes executem comandos SQL arbitrários, comprometendo a integridade e confidencialidade dos dados. As versões afetadas são 0.1.0 até 0.1.4. Não há informações sobre uma correção oficial disponível.
Uma vulnerabilidade de injeção SQL foi identificada no PandasAI, especificamente na extensão pandasai-lancedb até a versão 0.1.4. Esta vulnerabilidade afeta várias funções dentro do arquivo lancedb.py (especificamente deletequestionandanswers, deletedocs, updatequestionanswer, updatedocs, getrelevantquestionanswersbyid, e getrelevantdocsbyid). Um atacante remoto pode explorar esta vulnerabilidade para manipular consultas SQL, potencialmente acessando, modificando ou eliminando dados sensíveis armazenados no banco de dados LanceDB utilizado pelo PandasAI. A disponibilidade pública de um exploit agrava a situação, aumentando o risco de ataques.
A vulnerabilidade é explorada através da manipulação das entradas fornecidas às funções mencionadas em lancedb.py. Dado que o exploit é público, os atacantes podem usá-lo para injetar código SQL malicioso que será executado no banco de dados LanceDB. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao sistema para comprometê-lo. O risco é particularmente alto para organizações que utilizam o PandasAI em ambientes de produção com dados sensíveis.
Applications utilizing the PandasAI LanceDB Extension in versions 0.1.0 through 0.1.4 are at direct risk. This includes data science projects, AI applications, and any system relying on the extension for vector database interactions. Shared hosting environments where multiple applications share the same database are particularly vulnerable, as a compromise of one application could potentially lead to a compromise of the entire database.
• python / application: Inspect application logs for unusual SQL queries or error messages related to the vulnerable functions. Use a debugger to trace the execution flow and identify potential injection points. • generic web: Monitor web server access logs for requests containing suspicious SQL syntax or patterns targeting the affected endpoints. Use a WAF to detect and block malicious requests. • database (mysql, postgresql): Monitor database audit logs for unauthorized access attempts or suspicious SQL queries. Implement database activity monitoring (DAM) to detect and alert on anomalous behavior.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
Atualmente, não existe uma correção (fix) oficial fornecida pelo desenvolvedor do PandasAI. A mitigação imediata mais eficaz é atualizar para uma versão do PandasAI posterior à 0.1.4 assim que estiver disponível. Enquanto isso, recomenda-se restringir o acesso à instância do PandasAI e ao banco de dados LanceDB subjacente. Implementar uma validação e sanitização robustas das entradas do usuário no código da aplicação pode ajudar a mitigar o risco, embora isso exija uma revisão exaustiva do código. Monitorar a atividade do banco de dados em busca de padrões suspeitos também é crucial.
Actualice la extensión pandasai-lancedb a una versión posterior a 0.1.4. Esto solucionará la vulnerabilidad de inyección SQL. Consulte la documentación de PandasAI para obtener instrucciones sobre cómo actualizar la extensión.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
PandasAI é uma biblioteca Python que permite interagir com DataFrames do Pandas usando linguagem natural.
LanceDB é um banco de dados columnar de alto desempenho, usado pela extensão pandasai-lancedb para armazenar e recuperar dados.
Se você estiver usando PandasAI com a extensão pandasai-lancedb em uma versão anterior a 0.1.4, é provável que esteja afetado.
Restrinja o acesso à sua instância do PandasAI e ao banco de dados LanceDB. Implemente validação de entrada e monitore a atividade do banco de dados.
Consulte o aviso de vulnerabilidade CVE-2026-4996 e os fóruns da comunidade PandasAI para obter atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.