Onyx जोपर्यंत 0.29.1 Chat Interface a3_generate_simple_sql.py generate_simple_sql एसक्यूएल इंजेक्शन
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
सारांश
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती Onyx जोपर्यंत 0.29.1 मध्ये आढळली आहे. प्रभावित आहे फंक्शन generate_simple_sql फाइल backend/onyx/agents/agent_search/kb_search/nodes/a3_generate_simple_sql.py च्या घटक Chat Interface च्या. सॉफ्टवेअरमध्ये वापर एसक्यूएल इंजेक्शन घडवून आणतो.
ही कमतरता CVE-2025-7894 या नावाने ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
तपशील
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती Onyx जोपर्यंत 0.29.1 मध्ये आढळली आहे. प्रभावित आहे फंक्शन generate_simple_sql फाइल backend/onyx/agents/agent_search/kb_search/nodes/a3_generate_simple_sql.py च्या घटक Chat Interface च्या. सॉफ्टवेअरमध्ये वापर एसक्यूएल इंजेक्शन घडवून आणतो. CWE वापरून समस्या घोषित केल्याने CWE-89 कडे नेले जाते. कमजोरी प्रकाशित करण्यात आली होती. सल्ला डाउनलोडसाठी cnblogs.com येथे शेअर केला आहे.
ही कमतरता CVE-2025-7894 या नावाने ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. तांत्रिक तपशील उपलब्ध आहेत. ही असुरक्षितता सामान्यपेक्षा कमी लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे उघड झाले आहे आणि वापरले जाऊ शकते. सध्याच्या घडीला अंदाजे USD $0-$5k असू शकतो. MITRE ATT&CK प्रकल्पाने हल्ल्याची तंत्रज्ञान T1505 म्हणून घोषित केली आहे.
हे प्रूफ-ऑफ-कॉन्सेप्ट म्हणून घोषित केले आहे. cnblogs.com या ठिकाणी शोषण डाउनलोडसाठी शेअर केले आहे.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
उत्पादन
नाम
आवृत्ती:
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔒VulDB विश्वसनीयता:: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA सदिश: 🔒
CVSSv3
VulDB मेटा बेस स्कोअर: 7.5VulDB मेटा टेम्प स्कोअर: 7.3
VulDB बेस स्कोअर: 6.3
VulDB टेम्प स्कोअर: 5.7
VulDB सदिश: 🔒
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 9.8
NVD सदिश: 🔒
CNA बेस स्कोअर: 6.3
CNA सदिश: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔒
VulDB टेम्प स्कोअर: 🔒
VulDB विश्वसनीयता:: 🔍
शोषण करणे:
वर्ग: एसक्यूएल इंजेक्शनCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔒
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔒
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: कोणतेही शमन माहित नाहीस्थान: 🔍
0 दिवसांचा वेळ: 🔒
टाइमलाइन
19/07/2025 सल्लागाराने खुलासा केला19/07/2025 VulDB Entry निर्माण
17/09/2025 VulDB Entry शेवटचे अपडेट
स्त्रोत
सल्लागार: cnblogs.comस्थान: परिभाषित केलेले नाही
CVE: CVE-2025-7894 (🔒)
GCVE (CVE): GCVE-0-2025-7894
GCVE (VulDB): GCVE-100-317009
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 19/07/2025 01:11 PMअद्ययावत: 17/09/2025 05:31 PM
बदल: 19/07/2025 01:11 PM (56), 20/07/2025 05:21 PM (30), 20/07/2025 07:00 PM (1), 17/09/2025 05:31 PM (12)
संपूर्ण: 🔍
Submitter: aibot888
Cache ID: 253:7DF:103
प्रस्तुत करा
मान्य केले
- प्रस्तुत करा #615322: onyx-dot-app onyx 0.29.1 SQL Injection (जवळ cnblogs.com)
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.