SQLAlchemy up to 0.7.0 select SQL注入

2023-12-08 10:48:55 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

CVE编号

CVE-2012-0805

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-06-06

SQLAlchemy是一个Python的SQL工具包以及数据库对象映射框架。SQLAlchemy存在SQL注入漏洞。由于通过"limit"和"offset"关键词传递给"select()"函数的输入在用于SQL查询之前缺少过滤，攻击者可以利用漏洞进行SQL注入攻击，可获得敏感信息或操作数据库。

SQLAlchemy 0.7.0b已经修复此漏洞，建议用户下载使用：http://www.sqlalchemy.org/

参考链接
http://rhn.redhat.com/errata/RHSA-2012-0369.html
http://secunia.com/advisories/48327
http://secunia.com/advisories/48328
http://secunia.com/advisories/48771
http://www.debian.org/security/2012/dsa-2449
http://www.mandriva.com/security/advisories?name=MDVSA-2012:059
http://www.sqlalchemy.org/changelog/CHANGES_0_7_0
http://www.sqlalchemy.org/trac/changeset/852b6a1a87e7/
https://bugs.launchpad.net/keystone/+bug/918608
https://exchange.xforce.ibmcloud.com/vulnerabilities/73756

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	*		Up to (including) 0.7.0
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.0	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.1	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.2	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.3	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.4	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.5	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.6	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.6.7	-
	运行在以下环境
	应用	sqlalchemy	sqlalchemy	0.7.0	-
	运行在以下环境
	系统	centos_6	python-sqlalchemy	*		Up to (excluding) 0.5.5-3.el6_2
	运行在以下环境
	系统	debian_10	sqlalchemy	*		Up to (excluding) 0.6.7-1
	运行在以下环境
	系统	debian_11	sqlalchemy	*		Up to (excluding) 0.6.7-1
	运行在以下环境
	系统	debian_12	sqlalchemy	*		Up to (excluding) 0.6.7-1
	运行在以下环境
	系统	debian_6	sqlalchemy	*		Up to (excluding) 0.6.3-3+squeeze1
	运行在以下环境
	系统	debian_sid	sqlalchemy	*		Up to (excluding) 0.6.7-1
	运行在以下环境
	系统	fedora_EPEL_5	python-sqlalchemy	*		Up to (excluding) 0.5.8-9.el5
	运行在以下环境
	系统	oracle_6	oraclelinux-release	*		Up to (excluding) 0.5.5-3.el6_2
	运行在以下环境
	系统	redhat_6	python-sqlalchemy	*		Up to (excluding) 0:0.5.5-3.el6_2
	运行在以下环境
	系统	ubuntu_12.04.5_lts	keystone	*		Up to (excluding) code-not-present