根据用户提供的网页截图,我提取了以下关于漏洞的关键信息: 漏洞概述 漏洞标题: AlejandroArciniegas mcp-data-vis 1.0.0 SQL Injection 漏洞描述: 包含一个 SQL 注入漏洞,位于 文件中。该 函数通过嵌入攻击者控制的模式名称(schema name)直接构建 语句。攻击者可以通过调用易受攻击的 MCP 处理器执行任意 SQL 语句,从而对应用程序的 SQLite 数据库进行未授权的数据访问、修改或删除。 漏洞类型: SQL Injection (SQL 注入) CVSS 评分: 9.0 (Critical/严重) 状态: Fixed (已修复) 影响范围 受影响组件: 受影响版本: 1.0.0 (根据标题推断,具体版本范围需参考官方修复说明,但截图显示该漏洞存在于该版本) 受影响文件: 修复方案 修复状态: 已修复 (Fixed) 修复建议: 截图中的 "Status" 显示为 "Fixed",且 "Vuln entry" 链接指向了具体的修复条目。通常这意味着开发者已经发布了修复版本或补丁。建议用户更新到最新版本或应用官方发布的补丁。 POC/利用代码 截图中未直接显示具体的 POC 代码或利用脚本,仅提供了漏洞描述和 GitHub 链接。 漏洞关键信息总结 漏洞概述 漏洞名称: AlejandroArciniegas mcp-data-vis 1.0.0 SQL Injection 漏洞描述: 组件存在 SQL 注入漏洞。漏洞位于 文件中的 函数。该函数在构建 语句时,直接将攻击者控制的模式名称(schema name)嵌入 SQL 语句中,未进行参数化或严格验证。攻击者可以利用此漏洞执行任意 SQL 语句,对 SQLite 数据库进行未授权的数据访问、修改或删除。 严重程度: 9.0 (Critical) 当前状态: Fixed (已修复) 影响范围 受影响软件: AlejandroArciniegas mcp-data-vis 受影响版本: 1.0.0 (根据标题推断) 受影响文件: 修复方案 修复状态: 已修复。 建议措施: 建议用户更新到修复了该漏洞的最新版本。 POC/利用代码 截图中未包含具体的 POC 代码或利用脚本。