aiomysql allows arbitrary access to client files through vulnerability of a malicious MySQL server 漏洞信息(CVE-2025-62611)

一、漏洞 CVE-2025-62611 基础信息

漏洞信息

                                        # aiomysql 客户端文件任意访问漏洞

## 概述

aiomysql 是一个基于 `asyncio` 的 MySQL 数据库访问库。在版本 0.3.0 之前，该库在客户端设置本地文件访问时未进行安全校验，存在安全隐患。

## 影响版本

受影响版本：`aiomysql` < 0.3.0

## 细节

在客户端处理 `LOAD DATA LOCAL INFILE` 请求时，库未对服务器请求进行足够的验证。攻击者可通过搭建恶意 MySQL 服务器诱导客户端连接，伪装认证过程、忽略客户端控制标志，并通过发送 `LOAD_LOCAL` 指令包请求客户端上传任意本地文件。

## 影响

攻击者可利用此漏洞从客户端读取任意文件，造成敏感信息泄露或数据外泄。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

aiomysql allows arbitrary access to client files through vulnerability of a malicious MySQL server

来源：美国国家漏洞数据库 NVD

漏洞描述信息

aiomysql is a library for accessing a MySQL database from the asyncio. Prior to version 0.3.0, the client-side settings are not checked before sending local files to MySQL server, which allows obtaining arbitrary files from the client using a rogue server. It is possible to create a rogue MySQL server that emulates authorization, ignores client flags and requests arbitrary files from the client by sending a LOAD_LOCAL instruction packet. This issue has been patched in version 0.3.0.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

文件名或路径的外部可控制

来源：美国国家漏洞数据库 NVD

漏洞标题

aiomysql 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

aiomysql是aio-libs开源的一个MySQL访问库。 aiomysql 0.3.0之前版本存在安全漏洞，该漏洞源于未检查客户端设置，可能导致恶意服务器获取客户端任意文件。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-62611 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-62611 的情报信息

标题： Fix arbitrary file access vulnerability when connecting to malicious servers by Nothing4You · Pull Request #1044 · aio-libs/aiomysql · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
标题： Arbitrary access to client files through vulnerability of a malicious MySQL server · Advisory · aio-libs/aiomysql · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
标题： Merge pull request #1044 from Nothing4You/local-infile · aio-libs/aiomysql@32c4520 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-62611

四、漏洞 CVE-2025-62611 的评论

暂无评论

一、 漏洞 CVE-2025-62611 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-62611 的公开POC

三、漏洞 CVE-2025-62611 的情报信息

四、漏洞 CVE-2025-62611 的评论

发表评论

一、漏洞 CVE-2025-62611 基础信息