Опубликовано: 06 июл. 2023
Источник: github
Github: Прошло ревью
CVSS4: 8.7
CVSS3: 7.5
Описание
langchain SQL Injection vulnerability
SQL injection vulnerability in langchain allows a remote attacker to obtain sensitive information via the SQLDatabaseChain component.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2023-36189
- https://github.com/hwchase17/langchain/issues/5923
- https://github.com/langchain-ai/langchain/issues/5923
- https://github.com/langchain-ai/langchain/issues/5923#issuecomment-1696053841
- https://github.com/hwchase17/langchain/pull/6051
- https://github.com/langchain-ai/langchain/pull/8425
- https://github.com/langchain-ai/langchain/commit/fab24457bcf8ede882abd11419769c92bc4e7751
- https://gist.github.com/rharang/9c58d39db8c01db5b7c888e467c0533f
- https://github.com/pypa/advisory-database/tree/main/vulns/langchain/PYSEC-2023-110.yaml
Пакеты
Наименование
langchain
pip
Затронутые версииВерсия исправления
< 0.0.247
0.0.247
Связанные уязвимости
CVSS3: 7.5
nvd
больше 2 лет назад
SQL injection vulnerability in langchain before v0.0.247 allows a remote attacker to obtain sensitive information via the SQLDatabaseChain component.
CVSS3: 7.5
fstec
больше 2 лет назад
Уязвимость фреймворка для создания приложений на основе комбинирования языковах моделей (LLM) LangChain, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации