概要
DB-GPT バージョン 0.7.5 以前において、/api/v1/editor/ エンドポイントにSQLインジェクションの脆弱性が存在します。過去の修正が不完全であり、依然としてSQLインジェクション攻撃が可能な状態です。攻撃者はこの脆弱性を悪用してデータベースの内容を不正に取得・改ざんできる可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.3 (High) |
| CWE | CWE-74(インジェクション) / CWE-89(SQLインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- DB-GPT 0.7.5 以前
修正バージョンと回避策
0.7.5 以降の修正バージョンが公開されているか、公式リポジトリを確認してください。それまでの間、該当エンドポイントへのアクセスをネットワークレベルで制限することを推奨します。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。