CVE-2026-28795
CriticalSummary
OpenChatBI to inteligentne narzędzie BI oparte na czacie, które umożliwia użytkownikom zadawanie pytań, analizowanie i wizualizowanie danych za pomocą naturalnych rozmów. Przed wersją 0.2.2 narzędzie save_report w pliku openchatbi/tool/save_report.py ma krytyczną podatność na przejście ścieżki z powodu niewystarczającej sanitacji wejścia parametru file_format.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji. Umożliwia atakującym manipulację plikami na serwerze.
Recommendation
Zaleca się aktualizację OpenChatBI do wersji 0.2.2 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych luk.
Original NVD description (English source)
OpenChatBI is an intelligent chat-based BI tool powered by large language models, designed to help users query, analyze, and visualize data through natural language conversations. Prior to version 0.2.2, the save_report tool in openchatbi/tool/save_report.py suffers from a critical path traversal vulnerability due to insufficient input sanitization of the file_format parameter. This issue has been patched in version 0.2.2.

