| タイトル | Mindinventory MindSQL v0.2.1 SQL Injection |
|---|
| 説明 | A **prompt injection** vulnerability exists in the application flow where untrusted user input is forwarded to an LLM to generate SQL and (optionally) Python visualization code. If the system **executes or evaluates** LLM-generated Python (e.g., for Plotly chart generation), an attacker can craft a prompt that coerces the model into producing **malicious Python statements**, potentially leading to **Remote Code Execution (RCE)** on the host.
|
|---|
| ソース | ⚠️ https://github.com/Ka7arotto/cve/blob/main/MindSQL-RCE.md |
|---|
| ユーザー | Goku (UID 80486) |
|---|
| 送信 | 2026年03月06日 12:35 (3 月 ago) |
|---|
| モデレーション | 2026年03月20日 15:08 (14 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 352072 [Mindinventory MindSQL 迄 0.2.1 mindsql_core.py ask_db 特権昇格] |
|---|
| ポイント | 20 |
|---|