漏洞详情
包信息
- 包管理器: pip
- 包名:
asyncmy
影响范围
- 受影响版本: <= 0.2.10
- 已修复版本: 暂无
漏洞描述
long2ice 开发的 asyncmy 库,在 0.2.10 及之前版本中存在 SQL 注入漏洞。攻击者能够通过精心构造的字典键值来执行任意 SQL 命令。
严重性评估
此漏洞被评定为严重级别,CVSS v3.1 基本评分为 9.8(满分10分)。
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无需
- 影响范围: 未改变
- 影响:
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
EPSS(漏洞利用预测评分系统)评分显示,此漏洞在未来30天内被利用的概率估计为 0.04%(处于第12百分位)。
弱点分类
- CWE-ID: CWE-89
- 弱点名称: SQL命令中使用的特殊元素中和不当(‘SQL注入’)
- 描述: 产品使用来自上游组件的外部影响输入来构造全部或部分SQL命令,但未对可能在下游组件发送SQL命令时修改其意图的特殊元素进行中和或中和不当。如果对用户可控输入中的SQL语法没有进行充分的移除或引用,生成的SQL查询可能导致这些输入被解释为SQL而非普通用户数据。
参考链接
标识符
- CVE ID: CVE-2025-65896
- GHSA ID: GHSA-qhqw-rrw9-25rm
源代码
此漏洞涉及的项目源代码位于:long2ice/asyncmy