Критична вразливість RCE в Langroid SQLChatAgent (CVE-2026-25879)
Вразливість CVE-2026-25879 у Langroid дозволяє віддалене виконання коду через SQL-ін'єкції. Оновіть до версії 0.63.0 для захисту.
- CVSS
- 9.8 CRITICAL
- EPSS
- 32.76%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Langroid до версії 0.63.0 компонент SQLChatAgent виконує SQL-запити, сформовані LLM, що піддаються ін'єкції через підказки. Зловмисник може примусити виконання шкідливих SQL-команд, отримуючи віддалене виконання коду на сервері бази даних.
Бізнес-вплив
Ця вразливість дозволяє атакуючому, який має можливість впливати на вхідні дані агента, виконувати довільний код на хості бази даних, що може призвести до компрометації всієї інфраструктури. Особливо критично для систем з базами даних, які мають розширені привілеї або доступ до файлової системи.
Рекомендовані дії адміністратора
Рекомендується оновити Langroid до версії 0.63.0 або новішої, де SQLChatAgent обмежений лише SELECT-запитами з блокуванням небезпечних патернів. Якщо оновлення неможливе, слід обмежити привілеї бази даних, перевірити журнали на підозрілі запити та мінімізувати вплив потенційних ін'єкцій.