Описание
Sequelize, all versions prior to version 4.44.3 and 5.15.1, is vulnerable to SQL Injection due to sequelize.json() helper function not escaping values properly when formatting sub paths for JSON queries for MySQL, MariaDB and SQLite.
Ссылки
- PatchThird Party Advisory
- ExploitThird Party Advisory
- PatchThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 4.0.0 (включая) до 4.44.3 (исключая)Версия от 5.0.0 (включая) до 5.15.1 (исключая)
Одно из
cpe:2.3:a:sequelizejs:sequelize:*:*:*:*:*:node.js:*:*
cpe:2.3:a:sequelizejs:sequelize:*:*:*:*:*:node.js:*:*
EPSS
Процентиль: 62%
0.00427
Низкий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-89
Связанные уязвимости
CVSS3: 9.8
fstec
больше 6 лет назад
Уязвимость sequelize.json() ORM-библиотеки для приложений Sequelize, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
EPSS
Процентиль: 62%
0.00427
Низкий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-89