CVE-2024-7099

CRÍTIC (9,8)

CVSS3: 0,0

netease-youdao/qanything versió 1.4.1 conté una vulnerabilitat on les dades no segures obtingudes de l’entrada de l’usuari es concatenen a les consultes SQL, la qual cosa dona lloc a la injecció de SQL. Les funcions afectades inclouen ‘get_knowledge_base_name’, ‘from_status_to_status’, ‘delete_files’ i ‘get_file_by_status’. Un atacant pot explotar aquesta vulnerabilitat per executar consultes SQL arbitràries, cosa que podria robar informació de la base de dades. El problema s’ha solucionat a la versió 1.4.2.

Sistemes Afectats

• netease-youdao netease-youdao/qanything – unspecified

Remediació
No hi ha cap recurs disponible a partir del 13 d’octubre de 2024.

Referències

• https://huntr.com/bounties/bc98983e-06cc-4a4b-be01-67e5010cb2c1
• https://github.com/netease-youdao/qanything/commit/a87354f09d93e95350fb45eb343dc75454387554