概述

CVE-2025-62611 - aiomysql允许通过恶意MySQL服务器的漏洞任意访问客户端文件

漏洞描述

aiomysql是一个用于从asyncio访问MySQL数据库的库。在0.3.0版本之前，客户端设置在执行LOAD_LOCAL操作前未进行充分验证，使得恶意MySQL服务器能够获取客户端的任意文件。

攻击者可以创建一个恶意的MySQL服务器，模拟授权过程，忽略客户端标志，并通过发送LOAD_LOCAL指令数据包请求客户端的任意文件。该问题已在0.3.0版本中修复。

漏洞详情

• 发布日期：2025年10月22日 20:15
• 最后修改：2025年10月22日 21:12
• 远程利用：是
• 漏洞来源：security-advisories@github.com

CVSS评分

8.2（高危） - CVSS 4.0

解决方案

• 将aiomysql更新到0.3.0或更高版本
• 确保在文件访问前验证客户端设置

相关链接

• https://github.com/aio-libs/aiomysql/commit/32c4520dae3711367ded74a4726dcb8bb8919538
• https://github.com/aio-libs/aiomysql/pull/1044
• https://github.com/aio-libs/aiomysql/security/advisories/GHSA-r397-ff8c-wv2g

CWE关联

CWE-73：文件名或路径的外部控制

CAPEC攻击模式

• CAPEC-13：篡改环境变量值
• CAPEC-64：使用斜杠和URL编码组合绕过验证逻辑
• CAPEC-72：URL编码
• CAPEC-76：操纵Web输入到文件系统调用
• CAPEC-78：在替代编码中使用转义斜杠
• CAPEC-79：在替代编码中使用斜杠
• CAPEC-80：使用UTF-8编码绕过验证逻辑
• CAPEC-267：利用替代编码

漏洞时间线

2025年10月22日 - 收到来自security-advisories@github.com的新CVE报告