ГлавнаяБаза уязвимостей БДУ → BDU:2025-05028
6.5средняя

BDU:2025-05028

Уязвимость функции PostgresDB._process_insert_query() (file web/db.py) веб-фреймворка создания веб-приложений web.py, позволяющая нарушителю выполнить произвольные SQL-команды
Опубликовано: 2025-04-30
Описание

Уязвимость функции PostgresDB._process_insert_query() (file web/db.py) веб-фреймворка создания веб-приложений web.py связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-команды с помощью аргумента seqname

Затрагиваемое ПО и версии
web.py (до 0.70 включительно)
Способ устранения

Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл6.5 — средняя опасность
Источники и патчи
https://noppgwz8if.feishu.cn/docx/TxjpddUpTokyBwxibSgcTRr7nUfhttps://vuldb.com/?ctiid.305724https://vuldb.com/?id.305724https://vuldb.com/?submit.555649https://github.com/webpy/webpy
Проверьте безопасность своего сайта и почты → Полная проверка домена