A security flaw has been discovered in Sinaptik AI PandasAI up to 3.0.0. This affects the function is_sql_query_safe of the file pandasai/helpers/sql_sanitizer.py. Performing a manipulation results in path traversal. The attack may be initiated remotely. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.
A path traversal vulnerability exists in PandasAI versions up to 3.0.0 in the SQL sanitizer function, allowing remote attackers to manipulate file paths. The vulnerability affects the is_sql_query_safe function and has been publicly disclosed with active exploits available.
تم اكتشاف ثغرة أمنية في وظيفة معالج SQL (is_sql_query_safe) في مكتبة PandasAI الإصدارات حتى 3.0.0. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول إلى ملفات حساسة على النظام من خلال معالجة مسارات الملفات. تم الكشف عن الثغرة علنًا وتوفر أدوات استغلال نشطة للهجوم.
ثغرة اجتياز المسار موجودة في إصدارات PandasAI حتى 3.0.0 في وظيفة معالج SQL، مما يسمح للمهاجمين البعيدين بمعالجة مسارات الملفات. تؤثر الثغرة على وظيفة is_sql_query_safe وتم الكشف عنها علنًا مع توفر استغلالات نشطة.
Immediately upgrade PandasAI to version 3.0.1 or later. Implement input validation and sanitization for all SQL queries. Apply Web Application Firewall (WAF) rules to detect and block path traversal attempts. Monitor file system access logs for suspicious path manipulation activities. Restrict file system permissions to limit exposure from path traversal attacks.
قم بالترقية الفورية إلى إصدار PandasAI 3.0.1 أو أحدث. تطبيق التحقق من صحة المدخلات والتطهير لجميع استعلامات SQL. تطبيق قواعد جدار الحماية لتطبيقات الويب لكشف ومنع محاولات اجتياز المسار. مراقبة سجلات الوصول إلى نظام الملفات للكشف عن أنشطة معالجة المسار المريبة. تقييد أذونات نظام الملفات لتحديد التعرض من هجمات اجتياز المسار.