PraisonAI — это система мультиагентных команд. До версии 4.5.133 в SQLiteConversationStore существовала уязвимость, связанная с внедрением идентификатора SQL, где значение конфигурации table_prefix напрямую объединяется с запросами SQL через f-строки без какой-либо проверки или очистки. Поскольку идентификаторы SQL не могут быть безопасно параметризованы, злоумышленник, который контролирует значение table_prefix (например, с помощью входных данных конфигурации from_yaml или from_dict), может внедрить произвольные фрагменты SQL, которые изменят структуру запроса.
Это обеспечивает несанкционированный доступ к данным, например чтение внутренних таблиц SQLite, таких как sqlite_master, и манипулирование результатами запросов с помощью таких методов, как внедрение на основе UNION. Уязвимость распространяется от ввода конфигурации в config.py через Factory.py до конструкции SQL-запроса в sqlite.py. Эксплуатация требует возможности влиять на входные данные конфигурации, а успешная эксплуатация приводит к раскрытию внутренней схемы и полной подделке результатов запроса.
Эта проблема исправлена в версии 4.5.133.
Показать оригинальное описание (EN)
PraisonAI is a multi-agent teams system. Prior to 4.5.133, there is an SQL identifier injection vulnerability in SQLiteConversationStore where the table_prefix configuration value is directly concatenated into SQL queries via f-strings without any validation or sanitization. Since SQL identifiers cannot be safely parameterized, an attacker who controls the table_prefix value (e.g., through from_yaml or from_dict configuration input) can inject arbitrary SQL fragments that alter query structure. This enables unauthorized data access, such as reading internal SQLite tables like sqlite_master, and manipulation of query results through techniques like UNION-based injection. The vulnerability propagates from configuration input in config.py, through factory.py, to the SQL query construction in sqlite.py. Exploitation requires the ability to influence configuration input, and successful exploitation leads to internal schema disclosure and full query result tampering. This issue has been fixed in version 4.5.133.
Характеристики атаки
Последствия
Строка CVSS v4.0