Krytyczna luka RCE w Langroid SQLChatAgent umożliwia zdalne wykonanie kodu na hoście bazy danych
Krytyczna luka w Langroid SQLChatAgent umożliwia zdalne wykonanie kodu na serwerze bazy danych. Zalecana aktualizacja do wersji 0.63.0.
- CVSS
- 9.8 CRITICAL
- EPSS
- 32.76%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Langroid przed wersją 0.63.0 moduł SQLChatAgent wykonywał SQL generowany przez model językowy, podatny na wstrzyknięcie poleceń. Przy konfiguracji z rolą bazy danych posiadającą uprawnienia do wykonywania kodu lub dostępu do systemu plików, atakujący może wymusić zdalne wykonanie kodu (RCE) na serwerze bazy danych.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa baz danych i infrastruktury IT, umożliwiając atakującym przejęcie kontroli nad serwerem bazy danych. Może to prowadzić do wycieku danych, uszkodzenia systemów oraz dalszej eskalacji ataku w środowisku korporacyjnym. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo wdrożyć odpowiednie środki zaradcze.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Langroid do wersji 0.63.0 lub nowszej, w której domyślnie ograniczono wykonywanie zapytań SQL do bezpiecznego zestawu operacji SELECT. W przypadku niemożności aktualizacji należy ograniczyć uprawnienia ról bazodanowych, monitorować logi pod kątem podejrzanej aktywności oraz przeglądać konfigurację agentów SQLChatAgent pod kątem zezwalania na niebezpieczne operacje.