Er is een kritieke kwetsbaarheid ontdekt in Onyx tot versie 0.29.1. De kwetsbaarheid bevindt zich in de functie generate_simple_sql van het bestand backend/onyx/agents/agent_search/kb_search/nodes/a3_generate_simple_sql.py binnen de Chat Interface component. Vanwege een manipulatie kan een SQL-injectie plaatsvinden. Deze aanval kan vanop afstand worden uitgevoerd en de exploit is openbaar beschikbaar.
Het risico is aanzienlijk: een aanvaller kan zonder uw medeweten toegang krijgen tot gevoelige gegevens. Met een CVSS-score van 6,3 geeft dit een gemiddelde dreiging aan.
Overzicht
Deze kwetsbaarheid werd geclassificeerd onder CWE-89 SQL Injection en CWE-74 Injection, en betreft de versies 0.29.0 en 0.29.1 van Onyx. Ondanks contact met de leverancier is er nog geen reactie ontvangen op deze disclosure.
Aanbevelingen
- Controleer of uw systemen de betreffende versies draaien en overweeg een downgrade naar een eerdere, niet-getroffen versie.
- Blijf op de hoogte van updates van de leverancier en implementeer patches zodra deze beschikbaar zijn.
- Voer testinfiltraties uit om de risico’s binnen uw organisatie te beoordelen.
Bronnen
- VDB-317009 | Onyx Chat Interface a3_generate_simple_sql.py_sql injection
- VDB-317009 | CTI Indicators
- Submit #615322 | onyx-dot-app onyx 0.29.1 SQL Injection
- cnblogs – Exploit Details
Vraag en Antwoord
Wat is CVE-2025-7894?
Dit is een identificatie die verwijst naar een specifieke kwetsbaarheid in Onyx, die SQL-injectie mogelijk maakt via een kwaadwillige manipulatie.
Welke systemen zijn kwetsbaar voor CVE-2025-7894?
Systemen met de Onyx versies 0.29.0 en 0.29.1, specifiek de onderdelen die gebruikmaken van de Chat Interface module.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment geen bekende patch. Het is essentieel om toekomstige updates van de leverancier in de gaten te houden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via deze kwetsbaarheid toegang krijgen tot gevoelige gegevens en mogelijk andere aanvallen uitvoeren binnen het systeem.
