CVE-2023-7333: records-mover注入漏洞
包管理器: pip
受影响包: records-mover
受影响版本: < 1.6.0
已修复版本: 1.6.0
漏洞描述
在bluelabsio的records-mover包中,1.5.4及更早版本发现了一个安全弱点。受影响的元素是“表对象处理程序”(Table Object Handler)组件中的一个未知功能。此漏洞可导致SQL注入攻击。攻击需要在本地发起。升级至1.6.0版本即可修复此问题。补丁名称:3f8383aa89f45d861ca081e3e9fd2cc9d0b5dfaa。开发者应升级受影响组件。
参考资料
- https://nvd.nist.gov/vuln/detail/CVE-2023-7333
- bluelabsio/records-mover#254
- bluelabsio/records-mover@3f8383a
- https://github.com/bluelabsio/records-mover/releases/tag/v1.6.0
- https://vuldb.com/?ctiid.339566
- https://vuldb.com/?id.339566
国家漏洞数据库发布日期: 2026年1月7日 GitHub咨询数据库发布日期: 2026年1月8日 最后更新日期: 2026年1月8日
严重等级
中危 CVSS总体评分: 4.8 / 10
CVSS v4 基础指标
漏洞评分: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
可利用性指标
- 攻击向量(AV): 本地(Local)
- 攻击复杂度(AC): 低(Low)
- 攻击要求(AT): 无(None)
- 所需权限(PR): 低(Low)
- 用户交互(UI): 无(None)
受影响系统影响指标
- 机密性(VC): 低(Low)
- 完整性(VI): 低(Low)
- 可用性(VA): 低(Low)
后续系统影响指标
- 机密性(SC): 无(None)
- 完整性(SI): 无(None)
- 可用性(SA): 无(None)
EPSS评分
0.021% (第5百分位) 此分数估计了该漏洞在未来30天内被利用的概率。
弱点分类
CWE-74: 未正确处理输出中供下游组件使用的特殊元素(“注入”)。 描述:产品使用来自上游组件的外部影响输入来构建全部或部分命令、数据结构或记录,但在将其发送到下游组件时,未能对可能修改其解析或解释方式的特殊元素进行中和或错误地中和。