Plataforma
python
Componente
products.sqlalchemyda
Corregido en
2.2.1
La vulnerabilidad CVE-2024-24811 afecta a SQLAlchemyDA, un adaptador de base de datos genérico para métodos ZSQL, en versiones anteriores a 2.2. Esta falla de inyección SQL permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos a la que está conectado SQLAlchemyDA, sin necesidad de autenticación. La versión 2.2 incluye una corrección para esta vulnerabilidad.
La inyección SQL en SQLAlchemyDA representa un riesgo crítico para la seguridad de las aplicaciones que utilizan esta biblioteca. Un atacante podría explotar esta vulnerabilidad para acceder, modificar o eliminar datos confidenciales almacenados en la base de datos. Además, podrían utilizar la base de datos como punto de partida para realizar ataques a otros sistemas dentro de la red, obteniendo acceso no autorizado a información sensible y comprometiendo la integridad de la aplicación. La falta de autenticación necesaria para la explotación amplifica significativamente el impacto potencial.
La vulnerabilidad fue publicada el 7 de febrero de 2024. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL hace que la explotación sea relativamente sencilla una vez identificada. La alta puntuación CVSS indica una alta probabilidad de explotación si no se mitiga rápidamente.
Applications and systems utilizing SQLAlchemyDA versions 2.2 and earlier are at risk. This includes Python applications that rely on SQLAlchemyDA for database interactions, particularly those handling sensitive data or operating in environments with limited security controls. Any system where SQLAlchemyDA is used without proper input validation is potentially vulnerable.
• python / server:
import sqlalchemy
import os
def check_sqlalchemyda_version():
try:
import sqlalchemy_utils
version = sqlalchemy_utils.__version__
print(f"SQLAlchemyDA version: {version}")
if version <= '2.2':
print("VULNERABLE: Upgrade to version 2.3 or later.")
else:
print("Not vulnerable.")
except ImportError:
print("SQLAlchemyDA not installed.")
check_sqlalchemyda_version()disclosure
Estado del Exploit
EPSS
0.85% (75% percentil)
Vector CVSS
La mitigación principal para CVE-2024-24811 es actualizar SQLAlchemyDA a la versión 2.2 o superior. Dado que no hay una solución alternativa, la actualización es esencial. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente el código de la aplicación para identificar y validar todas las entradas de usuario que se utilizan en consultas SQL. Implementar una validación estricta de las entradas puede ayudar a reducir el riesgo, aunque no elimina completamente la vulnerabilidad. Después de la actualización, verificar la integridad de la base de datos y los permisos de acceso.
Actualice la biblioteca Products.SQLAlchemyDA a la versión 2.2 o superior. Esta versión contiene la corrección de seguridad que evita la ejecución de consultas SQL arbitrarias no autenticadas. Para actualizar, utilice el gestor de paquetes de Python (pip) o el método de instalación correspondiente a su entorno.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-24811 is a critical SQL Injection vulnerability in SQLAlchemyDA versions prior to 2.2, allowing attackers to execute arbitrary SQL commands without authentication.
Yes, if you are using SQLAlchemyDA version 2.2 or earlier, you are affected by this vulnerability. Upgrade immediately.
Upgrade to SQLAlchemyDA version 2.2 or later. There is no workaround for this vulnerability.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but its critical severity warrants immediate attention.
Refer to the SQLAlchemyDA project's official documentation and release notes for the latest information and security advisories: https://github.com/sdispirit/sqlalchemy_utils
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.