exploitDog

CVE-2024-23751

Опубликовано: 22 янв. 2024

Источник: nvd

CVSS3: 9.8

EPSS Низкий

Описание

LlamaIndex (aka llama_index) through 0.9.34 allows SQL injection via the Text-to-SQL feature in NLSQLTableQueryEngine, SQLTableRetrieverQueryEngine, NLSQLRetriever, RetrieverQueryEngine, and PGVectorSQLQueryEngine. For example, an attacker might be able to delete this year's student records via "Drop the Students table" within English language input.

Ссылки

https://github.com/run-llama/llama_index/issues/9957
Exploit
Issue Tracking
Vendor Advisory
https://github.com/run-llama/llama_index/issues/9957
Exploit
Issue Tracking
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:llamaindex:llamaindex:*:*:*:*:*:*:*:*

Версия до 0.9.34 (включая)

EPSS

Процентиль: 58%

0.0036

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-89

CWE-89

Связанные уязвимости

GHSA-2jxw-4hm4-6w87

CVSS3: 9.8

github

около 2 лет назад

SQL injection in llama-index

EPSS

Процентиль: 58%

0.0036

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-89

CWE-89