SQLiteConversationStore 表前缀注入漏洞总结 漏洞概述 在 库的 类中,配置项 的值被直接用于构建 SQL 表标识符,且未进行任何验证。攻击者可以通过控制该配置值,在表名中注入任意 SQL 片段,从而操纵 SQL 查询结构,导致未授权的数据访问(如读取内部 SQLite 表)或篡改查询结果。 影响范围 受影响版本:= 4.5.133 漏洞类型:SQL 标识符注入 (SQL Identifier Injection) 危害:SQL 查询结构被操纵、查询结果被篡改、内部架构信息泄露。 修复方案 升级 库至 4.5.133 或更高版本。 概念验证代码 (PoC)