Vulnerabilidad en langchain-ai/langchain 0.2.5 (CVE-2024-8309)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

29/10/2024

Última modificación:

01/11/2024

Descripción

Una vulnerabilidad en la clase GraphCypherQAChain de la versión 0.2.5 de langchain-ai/langchain permite la inyección de SQL a través de la inyección de mensajes. Esta vulnerabilidad puede provocar manipulación de datos no autorizada, exfiltración de datos, denegación de servicio (DoS) mediante la eliminación de todos los datos, infracciones en entornos de seguridad de múltiples tenants y problemas de integridad de los datos. Los atacantes pueden crear, actualizar o eliminar nodos y relaciones sin la debida autorización, extraer datos confidenciales, interrumpir servicios, acceder a datos de diferentes tenants y comprometer la integridad de la base de datos.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto