CVE-2026-33324

Nome do Software Vulnerável e Versões Afetadas SQLBot versões anteriores a 1.7.1

Descrição A interface de chat Text2SQL é suscetível a injeção de prompt. O parâmetro question é concatenado ao prompt do Large Language Model (LLM) sem filtragem ou escape, e o SQL resultante é executado no banco de dados sem validação ou sanitização. Um invasor autenticado pode manipular o LLM para gerar e executar instruções SQL arbitrárias. Se conectado a uma fonte de dados PostgreSQL, isso pode levar à execução remota de código por meio do comando COPY FROM PROGRAM.

Recomendações Atualizar para a versão 1.7.1.