Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en netease-youdao/qanything (CVE-2024-7099)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
13/10/2024
Última modificación:
15/10/2024

Descripción

La versión 1.4.1 de netease-youdao/qanything contiene una vulnerabilidad en la que los datos no seguros obtenidos de la entrada del usuario se concatenan en consultas SQL, lo que provoca una inyección SQL. Las funciones afectadas incluyen `get_knowledge_base_name`, `from_status_to_status`, `delete_files` y `get_file_by_status`. Un atacante puede aprovechar esta vulnerabilidad para ejecutar consultas SQL arbitrarias, lo que podría robar información de la base de datos. El problema se solucionó en la versión 1.4.2.