GHSA-2777-2vq8-c4v4

Опубликовано: 11 апр. 2019

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

SQL Injection in sequelize

Versions of sequelize prior to 5.3.0 (excluding v3 and v4) are vulnerable to SQL Injection. PostgreSQL optionstandard_conforming_strings is not set to on by default, which may allow attackers to inject SQL statements due to poor handling of backslashes in string literals.

Recommendation

Upgrade to version 5.3.0 or later.

Ссылки

Пакеты

Наименование

sequelize

npm

Затронутые версииВерсия исправления

>= 5.0.0, < 5.3.0

5.3.0

EPSS

Процентиль: 52%

0.00292

Низкий

7.5 High

CVSS3

CVE ID

CVE-2019-11069

Дефекты

CWE-20

Связанные уязвимости

CVE-2019-11069

CVSS3: 7.5

nvd

больше 6 лет назад

Sequelize version 5 before 5.3.0 does not properly ensure that standard conforming strings are used.

EPSS

Процентиль: 52%

0.00292

Низкий

7.5 High

CVSS3

CVE ID

CVE-2019-11069

Дефекты

CWE-20