GHSA-j9xp-92vc-559j

Опубликовано: 06 нояб. 2019

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

SQL Injection in sequelize

Affected versions of sequelize are vulnerable to SQL Injection. The package fails to sanitize JSON path keys in the MariaDB and MySQL dialects, which may allow attackers to inject SQL statements and execute arbitrary SQL queries.

Recommendation

If you are using sequelize 5.x, upgrade to version 5.8.11 or later. If you are using sequelize 4.x, upgrade to version 4.44.3 or later. If you are using sequelize 3.x, upgrade to version 3.35.1 or later.

Ссылки

Пакеты

Наименование

sequelize

npm

Затронутые версииВерсия исправления

< 3.35.1

3.35.1

Наименование

sequelize

npm

Затронутые версииВерсия исправления

>= 4.0.0, < 4.44.3

4.44.3

Наименование

sequelize

npm

Затронутые версииВерсия исправления

>= 5.0.0, < 5.8.11

5.8.11

EPSS

Процентиль: 62%

0.00427

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-10748

Дефекты

CWE-89

Связанные уязвимости

CVE-2019-10748

CVSS3: 9.8

nvd

больше 6 лет назад

Sequelize all versions prior to 3.35.1, 4.44.3, and 5.8.11 are vulnerable to SQL Injection due to JSON path keys not being properly escaped for the MySQL/MariaDB dialects.

EPSS

Процентиль: 62%

0.00427

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-10748

Дефекты

CWE-89