漏洞标题
Lychee 在解释 DB 查询中存在 SQL 注入安全风险。
漏洞描述信息
Lychee 是一个免费的图像处理工具。在 5.0.2 之前,当使用 MySQL/MariaDB 时,Lychee 对所有绑定的 SQL 注入都具有潜在的风险。这个注入只有在 `.env` 设置中的 DB_LOG_SQL 和 DB_LOG_SQL_EXPLAIN 设置为 true 的用户的系统中才有效。Lychee 的默认设置是安全的。在 5.0.2 版本中提供了补丁。为了绕过此问题,请禁用 SQL EXPLAIN 日志。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
Lychee is vulnerable to an SQL Injection in explain DB queries.
漏洞描述信息
Lychee is a free photo-management tool. Prior to 5.0.2, Lychee is vulnerable to an SQL injection on any binding when using mysql/mariadb. This injection is only active for users with the `.env` settings set to DB_LOG_SQL=true and DB_LOG_SQL_EXPLAIN=true. The defaults settings of Lychee are safe. The patch is provided on version 5.0.2. To work around this issue, disable SQL EXPLAIN logging.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
Lychee SQL注入漏洞
漏洞描述信息
Lychee是The Lychee Organisation开源的一个漂亮且易于使用的照片管理系统。用于管理和共享照片。 Lychee 5.0.2之前版本存在SQL注入漏洞,该漏洞源于组件mysql/mariadb存在SQL注入漏洞。
CVSS信息
N/A
漏洞类别
SQL注入