跨站请求伪造漏洞在sqlite-web中·CVE-2021-23404·GitHub咨询数据库·GitHub
漏洞详情
包管理器: pip 受影响包: sqlite-web (pip)
受影响版本: <= 0.6.5 已修复版本: 无
描述
该漏洞影响sqlite-web包的所有版本。SQL仪表盘区域允许执行敏感操作,而未验证请求是否源自应用程序本身。这可能使攻击者能够通过跨站请求伪造(CSRF)攻击,诱使用户在不知情的情况下执行这些操作。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2021-23404
- https://snyk.io/vuln/SNYK-PYTHON-SQLITEWEB-1316324
- https://github.com/coleifer/sqlite-web/blob/2e7c85da3d37f80074ed3ae39b5851069b4f301c/sqlite_web/__main__.py
- https://github.com/pypa/advisory-database/tree/main/vulns/sqlite-web/PYSEC-2021-332.yaml
- https://github.com/coleifer/sqlite-web/blob/4ba53979eb342c69fb3b7a75eeed43da7a3d3822/sqlite_web/sqlite_web.py#L1338
由美国国家漏洞数据库发布: 2021年9月8日 由GitHub审核: 2021年9月9日 发布至GitHub咨询数据库: 2021年9月9日 最后更新: 2025年11月27日
严重程度
高危
CVSS总体评分: 7.4/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 低
- 可用性影响: 低
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L/E:F
EPSS评分
0.141% (第35百分位)
该分数估算此漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点类型: CWE-352 描述: 跨站请求伪造(CSRF)——Web应用程序没有或无法充分验证格式正确、有效、一致的请求是否由提交请求的用户有意提供。了解更多信息请访问MITRE。
标识符
- CVE ID: CVE-2021-23404
- GHSA ID: GHSA-2j58-pwwv-x666
源代码
coleifer/sqlite-web
致谢
分析师: JohnGale87
注意:此咨询已编辑,请参阅历史记录。