CVE-2025-52467
CriticalSummary
Biblioteka pgai w Pythonie, służąca do przekształcania PostgreSQL w silnik wyszukiwania dla aplikacji RAG i Agentic, była podatna na atak umożliwiający wyciek wszystkich sekretów używanych w jednym przepływie pracy. W szczególności, GITHUB_TOKEN z uprawnieniami do zapisu w repozytorium, co pozwalało atakującemu na manipulację wszystkimi aspektami repozytorium.
Risk Assessment
Organizacja mogła być narażona na poważne zagrożenia związane z bezpieczeństwem, w tym możliwość wprowadzenia złośliwego kodu oraz nieautoryzowanego dostępu do zasobów repozytorium. Wyciek GITHUB_TOKEN mógł prowadzić do dalszych ataków na inne systemy.
Recommendation
Zaleca się aktualizację biblioteki pgai do wersji zawierającej poprawkę wprowadzonej w commicie 8eb3567. Należy również przeprowadzić audyt bezpieczeństwa repozytoriów oraz zresetować wszystkie klucze i tokeny, które mogły zostać narażone.
Original NVD description (English source)
pgai is a Python library that transforms PostgreSQL into a retrieval engine for RAG and Agentic applications. Prior to commit 8eb3567, the pgai repository was vulnerable to an attack allowing the exfiltration of all secrets used in one workflow. In particular, the GITHUB_TOKEN with write permissions for the repository, allowing an attacker to tamper with all aspects of the repository, including pushing arbitrary code and releases. This issue has been patched in commit 8eb3567.

