Новый API — это шлюз большого языкового режима (LLM) и система управления активами искусственного интеллекта (AI). До версии 0.10.8-alpha.10 уязвимость внедрения подстановочных знаков SQL LIKE в конечной точке `/api/token/search` позволяла прошедшим проверку подлинности пользователям вызывать отказ в обслуживании из-за истощения ресурсов путем создания вредоносных шаблонов поиска. Конечная точка поиска токенов принимает предоставленные пользователем параметры `keyword` и `token`, которые напрямую объединяются в предложения SQL LIKE без экранирования подстановочных знаков (`%`, `_`).
Это позволяет злоумышленникам внедрять шаблоны, которые вызывают дорогостоящие запросы к базе данных. Версия 0.10.8-альфа.10 содержит патч.
Показать оригинальное описание (EN)
New API is a large language mode (LLM) gateway and artificial intelligence (AI) asset management system. Prior to version 0.10.8-alpha.10, a SQL LIKE wildcard injection vulnerability in the `/api/token/search` endpoint allows authenticated users to cause denial of service through resource exhaustion by crafting malicious search patterns. The token search endpoint accepts user-supplied `keyword` and `token` parameters that are directly concatenated into SQL LIKE clauses without escaping wildcard characters (`%`, `_`). This allows attackers to inject patterns that trigger expensive database queries. Version 0.10.8-alpha.10 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v4.0