https://blog.qife122.com/tags/cve-2026-22687/ Recent content in CVE-2026-22687 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 07:04:15 +0800 https://blog.qife122.com/p/%E8%85%BE%E8%AE%AFweknora%E6%A1%86%E6%9E%B6sql%E6%B3%A8%E5%85%A5%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ Mon, 12 Jan 2026 07:04:15 +0800 https://blog.qife122.com/p/%E8%85%BE%E8%AE%AFweknora%E6%A1%86%E6%9E%B6sql%E6%B3%A8%E5%85%A5%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ <h1 id="cve-2026-22687-cwe-89-腾讯weknora中sql命令特殊元素不当中和sql注入">CVE-2026-22687: CWE-89: 腾讯WeKnora中SQL命令特殊元素不当中和（SQL注入）</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2026-22687</strong></p> <p>WeKnora是一个由大语言模型（LLM）驱动的框架，专为深度文档理解和语义检索而设计。在0.2.5之前的版本中，当WeKnora启用Agent服务后，允许用户调用数据库查询工具。由于后端验证不足，攻击者可以使用基于提示（prompt-based）的绕过技术来规避查询限制，从目标服务器和数据库中获取敏感信息。此问题已在0.2.5版本中修复。</p>