PT-2024-38931 · Langchain Ai · Langchain-Community+1
Publicado
2024-10-29
·
Atualizado
2026-06-15
·
CVE-2024-8309
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
langchain-ai/langchain versão 0.2.5
langchain-ai/langchain-community versão 0.2.5
Descrição:
Uma vulnerabilidade na classe GraphCypherQAChain permite a injeção de SQL por meio de injeção de prompt, levando à manipulação não autorizada de dados, exfiltração de dados, negação de serviço (DoS) pela exclusão de todos os dados, violações em ambientes de segurança multilocatários e problemas de integridade de dados. Os invasores podem criar, atualizar ou excluir nós e relações sem a devida autorização, extrair dados confidenciais, interromper serviços, acessar dados entre diferentes locatários e comprometer a integridade do banco de dados.
Recomendações:
Para a versão 0.2.5 do langchain-ai/langchain, considere desativar a classe GraphCypherQAChain até que um patch esteja disponível para prevenir ataques de injeção de SQL.
Para a versão 0.2.5 do langchain-ai/langchain-community, considere desativar a classe GraphCypherQAChain até que um patch esteja disponível para prevenir ataques de injeção de SQL.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Langchain
Langchain-Community