SQLAlchemy 1.2.17 Parameter SQL注入

CVE编号

CVE-2019-7548

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-02-07

当可以控制group_by参数时，SQLAlchemy 1.2.17具有SQL注入。<br>

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00087.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00010.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00016.html
https://access.redhat.com/errata/RHSA-2019:0981
https://access.redhat.com/errata/RHSA-2019:0984
https://github.com/no-security/sqlalchemy_test
https://github.com/sqlalchemy/sqlalchemy/issues/4481#issuecomment-461204518
https://lists.debian.org/debian-lts-announce/2019/03/msg00020.html
https://lists.debian.org/debian-lts-announce/2021/11/msg00005.html
https://www.oracle.com/security-alerts/cpujan2021.html

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	1.2.17	-
	运行在以下环境
	系统	centos_8	sqlalchemy	*		Up to (excluding) 0.8.0-10.module+el8.0.0+2966+d39a1df3
	运行在以下环境
	系统	debian	debian_linux	8.0	-
	运行在以下环境
	系统	debian_8	sqlalchemy	*		Up to (excluding) 0.9.8+dfsg-0.1+deb8u1
	运行在以下环境
	系统	debian_9	sqlalchemy	*		Up to (excluding) 1.0.15+ds1-1+deb9u1
	运行在以下环境
	系统	opensuse_Leap_15.0	sqlalchemy	*		Up to (excluding) 1.2.7-lp150.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	sqlalchemy	*		Up to (excluding) 1.2.14-lp151.2.3.1
	运行在以下环境
	系统	oracle linux_8	sqlalchemy	*		Up to (excluding) 1.3.7-30.module+el8.0.0+5217+22a49f57
	运行在以下环境
	系统	oracle_8	sqlalchemy	*		Up to (excluding) 3.6.8-2.module+el8.0.0+5217+22a49f57
	运行在以下环境
	系统	redhat_8	sqlalchemy	*		Up to (excluding) 0.8.0-10.module+el8.0.0+2966+d39a1df3

CWE-ID 漏洞类型 CWE-89 SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

还没有评论，来说两句吧...