SQL 注入漏洞总结 漏洞概述 漏洞名称: SQL injection via unvalidated goqu.L() calls in aggregate API CVE ID: CVE-2024-41422 CVSS 评分: 8.3 / 10 (High) 影响版本: < 0.11.4 修复版本: 0.11.4 根因: 在 中直接将用户提供的查询参数插入到 SQL 字符串中,未进行任何验证。 影响范围 经过身份验证的低权限用户可利用此漏洞: - 通过子查询从任何表中提取数据(例如: ) - 披露数据库内部信息(例如: ) - 通过相关子查询泄露跨表数据 漏洞已在本地确认:通过构造的 参数提取了 值。 修复方案 (v0.11.4) 所有受影响的 调用已被消除并替换为: - 支持所有已记录 API 表单的结构化表达式解析 - 基于模式的列验证(列名通过 检查实体架构) - 聚合函数( , , , , , , )和标量函数( , , , , 等)的精确匹配白名单 - 安全 构造函数( , , )用于所有生成的表达式 - 范围执行:仅限经过验证的列引用( )并显式连接表 POC 代码