漏洞标题
FlyteAdmin 列表过滤器中的 SQL 注射漏洞
漏洞描述信息
## 概述
FlyteAdmin 是 Flyte 的控制平面,负责管理和管理实体及工作流执行。在 1.1.124 版本之前,FlyteAdmin 的列表端点存在一个 SQL 漏洞,恶意用户可以通过 REST 请求发送自定义的 SQL 语句作为列表过滤器。攻击者需要访问 FlyteAdmin 安装,通常需要通过 VPN 或认证。
## 影响版本
- 1.1.124 之前的版本
## 细节
FlyteAdmin 的列表端点存在 SQL 漏洞,允许恶意用户发送包含自定义 SQL 语句的 REST 请求。这些 SQL 语句会被用作列表过滤器,可能会导致数据库泄漏或数据操纵问题。
## 影响
攻击者需要有对 FlyteAdmin 的访问权限,这通常意味着他们需要通过 VPN 或认证。该漏洞可能导致敏感信息泄露或数据库被恶意操纵。版本 1.1.124 已修复此问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
FlyteAdmin SQL Injection in List Filters
漏洞描述信息
FlyteAdmin is the control plane for Flyte responsible for managing entities and administering workflow executions. Prior to version 1.1.124, list endpoints on FlyteAdmin have a SQL vulnerability where a malicious user can send a REST request with custom SQL statements as list filters. The attacker needs to have access to the FlyteAdmin installation, typically either behind a VPN or authentication. Version 1.1.124 contains a patch for this issue.
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
FlyteAdmin SQL注入漏洞
漏洞描述信息
FlyteAdmin是Flyte开源的一个控制平面。负责管理实体(任务、工作流、启动计划)和管理工作流执行。 FlyteAdmin 1.1.124之前版本存在SQL注入漏洞,该漏洞源于存在SQL漏洞,恶意用户可以使用自定义SQL语句作为列表过滤器发送REST请求。
CVSS信息
N/A
漏洞类别
SQL注入