기술 설명
pandas-ai 버전 3.0.0의 pandasai.agent.base._execute_sql_query 구성 요소에서 발견된 SQL 주입 취약점으로, 공격자가 임의의 SQL 명령을 실행할 수 있습니다.
공격 경로
pandas-ai 쿼리 실행 구성 요소에 대한 악의적인 입력은 입력 살균을 우회하여 백엔드 데이터베이스에 대한 임의의 SQL 명령 실행을 가능하게 합니다.
영향받는 시스템
데이터베이스 연결이 있는 pandas-ai 버전 3.0.0 설치.
완화 방안
pandas-ai를 최신 패치 버전으로 업그레이드하십시오. 입력 유효성 검사 및 매개변수화된 쿼리를 구현하십시오. pandas-ai 연결에 대한 데이터베이스 사용자 권한을 제한하십시오.