Plataforma
python
Componente
pandasai
Corrigido em
3.0.1
CVE-2026-4997 descreve uma falha de Path Traversal encontrada no PandasAI até a versão 3.0. A vulnerabilidade reside na função issqlquerysafe do arquivo pandasai/helpers/sqlsanitizer.py, permitindo que um atacante remoto explore a falha para acessar arquivos sensíveis fora do diretório pretendido. As versões afetadas são 3.0–3.0. Não há patch oficial disponível para corrigir esta vulnerabilidade.
Uma vulnerabilidade de 'path traversal' foi descoberta no PandasAI, afetando versões até a 3.0.0. A vulnerabilidade reside na função issqlquerysafe do arquivo pandasai/helpers/sqlsanitizer.py. Um atacante pode manipular a entrada para acessar arquivos ou diretórios fora do escopo pretendido, comprometendo potencialmente a confidencialidade, integridade e disponibilidade dos dados. A vulnerabilidade é classificada como CVSS 5.3, indicando um risco moderado. A divulgação pública de um exploit e seu potencial para exploração ativa aumentam significativamente a urgência de resolver este problema. A falta de resposta do fornecedor complica ainda mais a situação, exigindo que os usuários tomem medidas de mitigação proativas.
A vulnerabilidade reside na função issqlquery_safe, projetada para validar consultas SQL. Um atacante pode manipular a entrada para contornar essa validação e executar comandos que permitam o acesso a arquivos arbitrários no sistema. A natureza remota da exploração significa que um atacante pode aproveitar essa vulnerabilidade de qualquer lugar com acesso ao aplicativo PandasAI. A divulgação pública do exploit facilita a replicação do ataque e aumenta o risco de que agentes maliciosos o utilizem. A falta de resposta do fornecedor agrava a situação, pois não há um patch oficial disponível para proteger contra essa ameaça.
Status do Exploit
EPSS
0.07% (percentil 23%)
CISA SSVC
Vetor CVSS
Diante da falta de uma correção fornecida pelo fornecedor, a mitigação imediata é evitar o uso do PandasAI até que uma versão corrigida seja lançada. Se o uso do PandasAI for essencial, implemente controles de segurança adicionais, como validação estrita da entrada do usuário, execução do aplicativo em um ambiente isolado (sandbox) e monitoramento contínuo da atividade do sistema em busca de sinais de exploração. Limitar os privilégios da conta que executa o PandasAI também pode minimizar o impacto potencial de uma exploração bem-sucedida. A atualização para as versões mais recentes das dependências do PandasAI também pode ajudar a reduzir a superfície de ataque, embora não garanta a remoção da vulnerabilidade.
Actualice la biblioteca PandasAI a una versión posterior a la 3.0. Dado que no hay una versión fija disponible, se recomienda monitorear el proyecto para futuras actualizaciones que aborden esta vulnerabilidad de path traversal. Alternativamente, revise y valide cuidadosamente las consultas SQL antes de pasarlas a la función is_sql_query_safe.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Path traversal é uma vulnerabilidade que permite a um atacante acessar arquivos ou diretórios fora do escopo pretendido, frequentemente manipulando a entrada do usuário.
Se você estiver usando o PandasAI versão 3.0.0 ou anterior, você é vulnerável. Revise os logs do sistema em busca de atividade suspeita.
Isole o sistema afetado da rede, faça backup de dados importantes e entre em contato com um profissional de segurança cibernética para avaliação e remediação.
Até que o fornecedor lance uma correção, evite usar o PandasAI ou implemente controles de segurança adicionais, como validação de entrada e execução em um sandbox.
A falta de resposta do fornecedor é preocupante e dificulta a obtenção de uma solução oficial. Monitore as comunicações do fornecedor para obter atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.