| タイトル | Song-Li cross_browser ca690f0fe6954fd9bcda36d071b68ed8682a786a SQL Injection |
|---|
| 説明 | The legacy MySQL-backed Flask application in cross_browser contains an SQL injection vulnerability in the /details endpoint implemented in flask/uniquemachine_app.py. The handler reads ID from a JSON request body and directly concatenates it into a SQL SELECT statement without parameterization or escaping. An attacker who can reach this endpoint can submit crafted input to alter the SQL query and retrieve unintended database records, and in some MySQL deployment configurations may be able to perform broader data exfiltration or blind SQL injection techniques. |
|---|
| ソース | ⚠️ https://github.com/wing3e/public_exp/issues/24 |
|---|
| ユーザー | BigW (UID 96422) |
|---|
| 送信 | 2026年03月20日 04:13 (17 日 ago) |
|---|
| モデレーション | 2026年04月04日 16:50 (15 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 355347 [Song-Li cross_browser 迄 ca690f0fe6954fd9bcda36d071b68ed8682a786a details Endpoint uniquemachine_app.py 識別子 SQLインジェクション] |
|---|
| ポイント | 20 |
|---|