漏洞关键信息 漏洞概述 漏洞描述 该漏洞存在于基于MySQL的Flask应用 中。 端点( )在处理请求时,从JSON请求体中读取ID字段,直接将其拼接到SQL SELECT语句中,未进行参数化处理或转义。攻击者可利用此漏洞: 通过构造恶意输入篡改SQL查询 获取非授权的数据库记录 在某些MySQL部署配置下可能执行更广泛的数据利用或盲注攻击 影响范围 受影响组件: 的 端点 数据库类型: MySQL 应用框架: Flask 修复方案 页面未提供具体修复代码,建议: 1. 使用参数化查询(Prepared Statements)替代字符串拼接 2. 输入验证:对ID字段进行严格的类型和格式校验 3. ORM框架:使用SQLAlchemy等ORM的查询构建器 参考链接 Source: https://github.com/wing3s/public_exploits/24 User: flisW (UUID: 96422) --- > 注意:页面中未包含POC代码或利用代码块。