Injecció SQL a netease-youdao/qanything
18/10/2024
CVE-2024-7099
CRÍTIC (9,8)
CVSS3: 0,0
netease-youdao/qanything versió 1.4.1 conté una vulnerabilitat on les dades no segures obtingudes de l’entrada de l’usuari es concatenen a les consultes SQL, la qual cosa dona lloc a la injecció de SQL. Les funcions afectades inclouen ‘get_knowledge_base_name’, ‘from_status_to_status’, ‘delete_files’ i ‘get_file_by_status’. Un atacant pot explotar aquesta vulnerabilitat per executar consultes SQL arbitràries, cosa que podria robar informació de la base de dades. El problema s’ha solucionat a la versió 1.4.2.
Sistemes Afectats
- netease-youdao netease-youdao/qanything – unspecified
Remediació
No hi ha cap recurs disponible a partir del 13 d’octubre de 2024.