Katalog CVE

CVE-2024-7042

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w klasie GraphCypherQAChain w wersjach 0.2.5 i wcześniejszych langchain-ai/langchainjs umożliwia wstrzykiwanie poleceń, co prowadzi do możliwości SQL injection. Umożliwia to nieautoryzowaną manipulację danymi oraz ich wyciek.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do danych, ich manipulację oraz potencjalne ataki typu denial of service (DoS), które mogą prowadzić do usunięcia wszystkich danych.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji langchain-ai/langchainjs, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed wstrzykiwaniem poleceń.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in the GraphCypherQAChain class of langchain-ai/langchainjs versions 0.2.5 and all versions with this class allows for prompt injection, leading to SQL injection. This vulnerability permits unauthorized data manipulation, data exfiltration, denial of service (DoS) by deleting all dat

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS