Описание
Duplicate Advisory: Querydsl SQL/HQL injection
Duplicate Advisory
This advisory has been withdrawn because it is a duplicate of GHSA-6q3q-6v5j-h6vg. This link is maintained to preserve external references.
Original Description
Querydsl 5.1.0 allows SQL/HQL injection in orderBy in JPAQuery.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2024-49203
- https://github.com/querydsl/querydsl/issues/3757
- https://github.com/CSIRTTrizna/CVE-2024-49203
- https://github.com/OpenFeign/querydsl
- https://github.com/querydsl/querydsl/releases/tag/QUERYDSL_5_1_0
- https://www.csirt.sk/querydsl-java-library-vulnerability-permits-sql-hql-injection.html
Пакеты
Наименование
com.querydsl:querydsl-jpa
maven
Затронутые версииВерсия исправления
<= 5.1.0
Отсутствует
Наименование
com.querydsl:querydsl-apt
maven
Затронутые версииВерсия исправления
<= 5.1.0
Отсутствует
Наименование
io.github.openfeign.querydsl:querydsl-jpa
maven
Затронутые версииВерсия исправления
<= 6.8
Отсутствует
Наименование
io.github.openfeign.querydsl:querydsl-apt
maven
Затронутые версииВерсия исправления
<= 6.8
Отсутствует
9.8 Critical
CVSS3
Дефекты
CWE-89
9.8 Critical
CVSS3
Дефекты
CWE-89