漏洞总结 漏洞概述 漏洞类型:CQL注入漏洞 漏洞描述:在Cassandra/Scylla数据库导出模块中,未对用户输入的键空间(keyspace)、表名(table)和复制因子(replication_factor)进行有效验证,导致攻击者可通过构造恶意输入实现CQL注入。 影响组件: 影响范围 使用Glances工具并启用Cassandra/Scylla导出功能的用户 攻击者可通过配置参数注入恶意CQL语句,可能窃取数据、篡改数据或破坏数据库结构 修复方案 添加CQL标识符验证函数 ,确保输入仅包含字母、数字和下划线,且以字母开头 在初始化时验证 、 和 参数 对 额外验证其必须为正整数 POC代码