assyncmy存在SQL注入漏洞:CVE-2025-65896
漏洞详情
关键严重性等级
包信息
- 包管理平台: pip
- 包名: asyncmy
- 受影响版本: <= 0.2.10
- 已修复版本: 暂无
漏洞描述
在long2ice开发的asyncmy库的0.2.10及之前版本中,存在SQL注入漏洞。攻击者能够通过特制的字典键值执行任意SQL命令。
参考资料
- https://nvd.nist.gov/vuln/detail/CVE-2025-65896
- long2ice/asyncmy#134
- https://github.com/long2ice/asyncmy
时间线
- 国家漏洞数据库(NVD)发布时间: 2025年12月2日
- GitHub咨询数据库发布时间: 2025年12月2日
- GitHub审核时间: 2025年12月3日
- 最后更新时间: 2025年12月3日
严重性评估
CVSS综合评分
9.8分(关键级别)
CVSS v3基础指标
- 攻击向量(Attack Vector): 网络(Network)
- 攻击复杂度(Attack Complexity): 低(Low)
- 所需权限(Privileges Required): 无(None)
- 用户交互(User Interaction): 无(None)
- 影响范围(Scope): 未改变(Unchanged)
- 机密性影响(Confidentiality): 高(High)
- 完整性影响(Integrity): 高(High)
- 可用性影响(Availability): 高(High)
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
EPSS评分
0.014%(第2百分位数) 该分数预测此漏洞在未来30天内被利用的概率,数据由FIRST提供。
弱点分类
CWE-89
SQL命令中使用的特殊元素不当中和(SQL注入) 产品使用来自上游组件的外部影响输入构造全部或部分SQL命令,但在将其发送到下游组件时,未能中和或错误中和了可能修改预期SQL命令的特殊元素。
标识符
- CVE ID: CVE-2025-65896
- GHSA ID: GHSA-qhqw-rrw9-25rm
源代码
仓库: long2ice/asyncmy