赛克艾威-漏洞预警

SecEvery - Vulnerability Warning

Django SQL 注入漏洞

北京赛克艾威科技有限公司

2025-09-04

Django是一个高级的Python Web框架,用于快速开发安全、可维护的网站。它鼓励遵循“DRY”(Don't Repeat Yourself)原则,提供了丰富的内置功能,如自动化的管理界面、数据库模型、URL路由、表单处理、验证、认证等。Django是一个全栈框架,适合开发从简单应用到复杂系统的各种Web项目。其设计注重可重用性、快速开发和高效的数据库操作,使开发者能够专注于业务逻辑而非底层代码。2025年9月4日,启明星辰集团VSRC监测到Django框架中的一项高危SQL注入漏洞。该漏洞源于FilteredRelation功能在处理列别名时,未对通过kwargs传递给QuerySet.annotate\(\)或QuerySet.alias\(\)的字典进行充分验证。攻击者可以构造恶意字典,利用字典展开特性,将恶意输入注入SQL查询的列别名部分,从而绕过常规SQL注入防护。成功利用后,攻击者可读取、修改或删除数据库中的敏感数据,甚至执行任意SQL命令,导致数据泄露或完全控制数据库。漏洞评分7.1分,漏洞级别高危。

百度网盘Windows客户端远程命令执行漏洞(QVD-2025-34029)

北京赛克艾威科技有限公司

2025-09-04

百度网盘Windows客户端安装后,后台程序将监听本地10000端口并处理HTTP(HTTPS)请求。其中OpenSafeBox存在命令注入漏洞,攻击者可诱导受害者点击恶意HTML页面实现远程命令执行从而获取系统权限。

XWiki 路径遍历漏洞(CVE-2025-55747)

北京赛克艾威科技有限公司

2025-09-03

XWiki 对用户输入过滤不当导致路径遍历,攻击者可读取配置文件等敏感信息。

XWiki 路径遍历漏洞(CVE-2025-55748)

北京赛克艾威科技有限公司

2025-09-03

XWiki 对用户输入过滤不当导致路径遍历,攻击者可读取配置文件等敏感信息。

tensorflow keras代码执行漏洞(CVE-2024-3660)

北京赛克艾威科技有限公司

2024-04-16

TensorFlow的Keras框架\(<2.13\)中的任意代码注入漏洞允许攻击者使用允许任意代码的模型以与应用程序相同的权限执行任意代码,而不管应用程序如何。