漏洞标题
N/A
漏洞描述信息
pycsw所有版本(2.0.2之前、1.10.5和1.8.6)中的SQL注入漏洞,可能导致数据库用户访问的pycsw数据库中的任何表的读取和提取数据。在PostgreSQL(至少)中,数据库用户可以对任何数据库用户访问的表进行更新、插入、删除和数据库修改。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A SQL injection vulnerability in pycsw all versions before 2.0.2, 1.10.5 and 1.8.6 that leads to read and extract of any data from any table in the pycsw database that the database user has access to. Also on PostgreSQL (at least) it is possible to perform updates/inserts/deletes and database modifications to any table the database user has access to.
CVSS信息
N/A
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
pycsw SQL注入漏洞
漏洞描述信息
pycsw是一个开源的、跨平台的使用Python编写的OGC CSW服务器的实现,它支持通过众多API发布和发现地理空间元数据并提供了基于标准的元数据和空间数据基础设施的目录组件。 pycsw 2.0.2之前的版本、1.10.5之前的版本和1.8.6之前的版本中存在SQL注入漏洞。攻击者可利用该漏洞从pycsw数据库的任意表单中读取和提取任意数据,更新/插入/删除/修改任意表单。
CVSS信息
N/A
漏洞类别
SQL注入