pandas-ai 查询执行中的SQL注入漏洞

在pandas-ai 3.0.0版本的pandasai.agent.base._execute_sql_query组件中发现SQL注入漏洞，允许攻击者执行任意SQL命令。

恶意输入到pandas-ai查询执行组件可以绕过输入净化，使得能够对后端数据库执行任意SQL命令。

具有数据库连接功能的pandas-ai 3.0.0版本安装。

将pandas-ai升级到最新的修补版本。实施输入验证和参数化查询。限制pandas-ai连接的数据库用户权限。