发布日期：2024-07-05
更新日期：2024-09-02

受影响系统：

vanna-ai/vanna vanna-ai/vanna 0.3.4

描述：

---

CVE(CAN) ID: CVE-2024-5753

vanna-ai/vanna是Vanna公司的一个个性化AI SQL代理。
vanna-ai/vanna 0.3.4版本的pg_read_file()等文件函数存在SQL注入漏洞，攻击者可利用该漏洞通过Python Flask API进行SQL查询，进而读取用户服务器上的/etc/passwd等任意本地文件。

<**>

建议：

---

厂商补丁：

vanna-ai/vanna
--------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://huntr.com/bounties/a3f913d6-c717-4528-b974-26d8d9e839ca

浏览次数：72
严重程度：0（网友投票）