CVE-2026-34934 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 💥 **后果**：攻击者可获取**完整数据库访问权限**，数据泄露风险极高。

🔍 **CWE**：CWE-89 (SQL注入) 📍 **缺陷点**：`get_all_user_threads` 函数使用**未转义的线程ID**构造原始SQL查询。

📦 **产品**：PraisonAI (低代码多智能体协作框架) 👤 **厂商**：MervinPraison 📉 **版本**：**4.5.90之前**的所有版本。

🔓 **权限**：完全控制数据库 💾 **数据**：可读取、修改或删除所有用户线程数据，甚至提权。

📶 **利用门槛**：**低** 🔑 **认证**：CVSS显示无需认证 (PR:N)，攻击向量网络 (AV:N)，复杂度低 (AC:L)。

🧪 **Exp/PoC**：当前数据中 **无** 公开PoC或已知在野利用记录。

🔎 **自查**：检查代码中 `get_all_user_threads` 函数，确认SQL拼接是否使用了**参数化查询**而非直接拼接未转义变量。

🛡️ **修复**：官方已发布安全公告 (GHSA-9cq8-3v94-434g)。 ✅ **建议**：升级至 **4.5.90或更高版本**。

⚠️ **临时规避**：若无法升级，需手动审查并修复 `get_all_user_threads` 中的SQL拼接逻辑，强制进行**输入验证与转义**。

🔥 **优先级**：**紧急** 📊 **CVSS**：9.1 (Critical) 💡 **建议**：立即停止使用旧版本，尽快打补丁，防止数据被窃取。