漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Electric: SQL Injection via ORDER BY Parameter in Shape API
Vulnerability Description
Electric is a Postgres sync engine. From 1.1.12 to before 1.5.0, the order_by parameter in the ElectricSQL /v1/shape API is vulnerable to error-based SQL injection, allowing any authenticated user to read, write, and destroy the full contents of the underlying PostgreSQL database through crafted ORDER BY expressions. This vulnerability is fixed in 1.5.0.
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Vulnerability Type
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
Vulnerability Title
Electric SQL注入漏洞
Vulnerability Description
Electric是Electric开源的一个Postgres实时数据同步引擎。 Electric 1.1.12版本至1.5.0之前版本存在SQL注入漏洞,该漏洞源于/v1/shape API中的order_by参数存在基于错误的SQL注入,可能导致任何经过身份验证的用户通过特制ORDER BY表达式读写和破坏底层PostgreSQL数据库的全部内容。
CVSS Information
N/A
Vulnerability Type
N/A