CocoIndex — это платформа преобразования данных для искусственного интеллекта. До версии 0.3.34 целевой соединитель Doris не проверял настроенное имя таблицы перед созданием некоторых операторов SQL (ALTER TABLE). Таким образом, если в коде приложения имя таблицы предоставлено ненадежным восходящим источником, это подвергает риску внедрение SQL-кода при изменении целевой схемы.
Эта проблема исправлена в версии 0.3.34.
Показать оригинальное описание (EN)
CocoIndex is a data transformation framework for AI. Prior to version 0.3.34, the Doris target connector didn't verify the configured table name before creating some SQL statements (ALTER TABLE). So, in the application code, if the table name is provided by an untrusted upstream, it expose vulnerability to SQL injection when target schema change. This issue has been patched in version 0.3.34.
Характеристики атаки
Последствия
Строка CVSS v4.0