PT-2025-17389 · Web.Py+1 · Web.Py+1
Luaklein
·
Publicado
2025-04-15
·
Atualizado
2026-06-17
·
CVE-2025-3818
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
webpy web.py versão 0.70
Descrição
Uma vulnerabilidade crítica foi encontrada no webpy web.py. A função
PostgresDB. process insert query do arquivo web/db.py é afetada. A manipulação do argumento seqname leva à injeção de SQL. É possível lançar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado.Recomendações
Como solução temporária, considere desativar a função
PostgresDB. process insert query até que uma correção esteja disponível. Restrinja o acesso ao arquivo web/db.py para minimizar o risco de exploração. Evite usar o argumento seqname na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
SQL injection
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Web.Py