PT-2022-7852 · Knex.Js · Knex.Js
Thething
·
Publicado
2022-12-19
·
Atualizado
2026-06-04
·
CVE-2016-20018
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Knex.js até a 2.3.0
Descrição
O problema é uma vulnerabilidade limitada de injeção de SQL que pode ser explorada para ignorar a cláusula WHERE de uma consulta SQL. Essa vulnerabilidade foi corrigida na versão 2.4.0. Usuários do a12nserver que utilizam o MySQL podem estar vulneráveis a bugs de injeção de SQL, o que poderia permitir que um invasor obtivesse tokens de acesso OAuth2 de usuários não relacionados.
Recomendações
Para versões até a 2.3.0, atualize para a versão 2.4.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a consultas MySQL para minimizar o risco de exploração.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Knex.Js