一、 漏洞 CVE-2024-7099 基础信息
漏洞标题
网易有道翻译插件qanything存在SQL注入漏洞
来源:AIGC 神龙大模型
漏洞描述信息
网易有道/qanything版本1.4.1中存在一个漏洞,该漏洞使得从用户输入获取的不安全数据被拼接在SQL查询中,从而导致SQL注入。受影响的函数包括`get_knowledge_base_name`、`from_status_to_status`、`delete_files`和`get_file_by_status`。攻击者可以利用此漏洞执行任意SQL查询,从而可能从数据库中窃取信息。此问题已在版本1.4.2中得到修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
SQL Injection in netease-youdao/qanything
来源:美国国家漏洞数据库 NVD
漏洞描述信息
netease-youdao/qanything version 1.4.1 contains a vulnerability where unsafe data obtained from user input is concatenated in SQL queries, leading to SQL injection. The affected functions include `get_knowledge_base_name`, `from_status_to_status`, `delete_files`, and `get_file_by_status`. An attacker can exploit this vulnerability to execute arbitrary SQL queries, potentially stealing information from the database. The issue is fixed in version 1.4.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
NetEase QAnything SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
NetEase QAnything是中国网易(NetEase)公司的致力于支持任意格式文件或数据库的本地知识库问答系统,可断网安装使用。 NetEase QAnything 1.4.1版本存在SQL注入漏洞,该漏洞源于会将从用户输入中获取的不安全数据连接到 SQL 查询中,从而导致 SQL 注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-7099 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
