Критична вразливість RCE в Langroid SQLChatAgent (CVE-2026-25879)

Вразливість CVE-2026-25879 у Langroid дозволяє віддалене виконання коду через SQL-ін'єкції. Оновіть до версії 0.63.0 для захисту.
CVE-2026-25879CVSS 9.8Database

Критична вразливість RCE в Langroid SQLChatAgent (CVE-2026-25879)

Вразливість CVE-2026-25879 у Langroid дозволяє віддалене виконання коду через SQL-ін'єкції. Оновіть до версії 0.63.0 для захисту.

CVSS
9.8 CRITICAL
EPSS
32.76%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Langroid до версії 0.63.0 компонент SQLChatAgent виконує SQL-запити, сформовані LLM, що піддаються ін'єкції через підказки. Зловмисник може примусити виконання шкідливих SQL-команд, отримуючи віддалене виконання коду на сервері бази даних.

Бізнес-вплив

Ця вразливість дозволяє атакуючому, який має можливість впливати на вхідні дані агента, виконувати довільний код на хості бази даних, що може призвести до компрометації всієї інфраструктури. Особливо критично для систем з базами даних, які мають розширені привілеї або доступ до файлової системи.

Рекомендовані дії адміністратора

Рекомендується оновити Langroid до версії 0.63.0 або новішої, де SQLChatAgent обмежений лише SELECT-запитами з блокуванням небезпечних патернів. Якщо оновлення неможливе, слід обмежити привілеї бази даних, перевірити журнали на підозрілі запити та мінімізувати вплив потенційних ін'єкцій.

Джерела