关键信息 漏洞概述 漏洞类型: SQL注入 CVE ID: CVE-2025-54379 严重性: 高 受影响版本: v2.1.5 修复版本: v2.2.1 描述 摘要: eKuiper 项目中的 API 功能存在严重的 SQL 注入漏洞,允许未授权的远程攻击者通过操纵 API 请求中的表名参数来执行任意 SQL 语句。 细节: 问题在于使用未验证的用户控制输入构建 SQL 查询时,具体代码如下: 任何传递给 参数的值都会直接插入到 SQL 字符串中,导致注入攻击。 PoC (概念验证) 1. 部署 eKuiper 实例(默认配置即可)。 2. 发送构造好的请求到 SQL 查询端点: 3. 效果:执行两条 SQL 查询——第一条选择数据,第二条删除 表。 4. 验证结果: 影响 CWE-89: 在 SQL 命令中不正确地中和特殊元素(SQL 注入) 引用 72c4918