漏洞概述

CVE 编号: CVE-2021-23404 漏洞名称: sqlite-web 中的跨站请求伪造 严重等级: 高危（CVSS 评分 7.4） 影响范围: sqlite-web 包的所有版本（<= 0.6.5） 漏洞类型: CWE-352 跨站请求伪造 (CSRF)

漏洞详情

该漏洞影响 sqlite-web 软件包的所有版本（截至 0.6.5）。其 SQL 仪表板区域允许执行敏感操作，但未验证请求是否源自应用程序本身。这一缺陷使得攻击者能够通过跨站请求伪造（CSRF）攻击，诱骗用户在不知情的情况下执行这些操作。

技术影响

攻击者可以利用此漏洞，通过精心构造的恶意请求，诱使已通过身份验证的 sqlite-web 用户执行非预期的数据库操作，例如修改、删除数据或执行任意 SQL 语句，从而对数据的机密性、完整性和可用性造成损害。

受影响版本

• 所有版本 <= 0.6.5

修复状态

根据漏洞描述，截至该公告发布时（2021年9月9日），尚未发布已修复的版本。

参考链接

• NVD 漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2021-23404
• Snyk 漏洞报告: https://snyk.io/vuln/SNYK-PYTHON-SQLITEWEB-1316324
• 相关源代码文件 1: https://github.com/coleifer/sqlite-web/blob/2e7c85da3d37f80074ed3ae39b5851069b4f301c/sqlite_web/__main__.py
• PyPA 安全公告数据库条目: https://github.com/pypa/advisory-database/tree/main/vulns/sqlite-web/PYSEC-2021-332.yaml
• 相关源代码文件 2: https://github.com/coleifer/sqlite-web/blob/4ba53979eb342c69fb3b7a75eeed43da7a3d3822/sqlite_web/sqlite_web.py#L1338

时间线

• 2021年9月8日: 美国国家漏洞数据库 (NVD) 发布。
• 2021年9月9日: GitHub 安全团队审核并发布至 GitHub Advisory Database。
• 2025年11月27日: 该公告最后更新。

CVSS v3.1 评分详情

• 基础评分: 7.4 (高危)
• 攻击向量 (AV): 网络 (N)
• 攻击复杂度 (AC): 低 (L)
• 所需权限 (PR): 无 (N)
• 用户交互 (UI): 需要 (R)
• 影响范围 (S): 未改变 (U)
• 机密性影响 (C): 高 (H)
• 完整性影响 (I): 低 (L)
• 可用性影响 (A): 低 (L)

附加信息

• GHSA ID: GHSA-2j58-pwwv-x666
• EPSS 分数: 0.141% (第35百分位)
• 致谢: 漏洞由 JohnGale87 报告。