つみかさね

CVE-2026-33324

High(8.8)

CVE-2026-33324 — SQLBot プロンプトインジェクション

公開日: 2026-05-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
SQLBotSQLBot Project<= 1.7.0

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1SQLBotを使用しているか確認する
  2. 2バージョン1.7.0以前であれば最新版へアップデートする
  3. 3Text2SQLインターフェースへのアクセスを制限する
  4. 4ユーザー入力のサニタイズ処理を検討する

影響対象

SQLBot利用者LLMベースのText-to-SQLシステム管理者

補足

  • -修正バージョンの情報は未公開
CVESQLBotプロンプトインジェクションLLMText-to-SQL

概要

SQLBot は大規模言語モデル(LLM)と RAG(Retrieval-Augmented Generation)に基づくインテリジェントな Text-to-SQL システムです。バージョン 1.7.0 以前において、Text2SQL チャットインターフェースにプロンプトインジェクションの脆弱性が存在します。

ユーザーが入力した質問文が、適切なサニタイズ処理を経ずにプロンプトテンプレートへ直接連結されます。これにより、攻撃者は悪意のある入力を通じてプロンプトの動作を改変し、意図しない SQL クエリの生成やバックエンドデータへの不正アクセスにつながる可能性があります。

CVSSベクトル

指標
CVSSスコア8.8
深刻度High
CWECWE-77 (コマンドインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル

影響を受けるソフトウェア

製品ベンダー影響バージョン
SQLBotSQLBot Project1.7.0 以前

修正バージョンと回避策

  • 現時点で修正バージョンの情報は公開されていません
  • 最新版へのアップデートが推奨されます
  • Text2SQL チャットインターフェースへのアクセスを信頼されたユーザーに限定する
  • ユーザー入力に対する独自のサニタイズ処理を検討する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33324
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。