CVE-2025-54379

Nome do Software Vulnerável e Versões Afetadas Versões do LF Edge eKuiper anteriores a 2.2.1

Descrição Existe uma vulnerabilidade crítica de Injeção de SQL na funcionalidade da API getLast do projeto eKuiper. Esta falha permite que atacantes remotos não autenticados executem comandos SQL arbitrários no banco de dados SQLite subjacente, manipulando a entrada do nome da tabela em uma requisição da API. A exploração pode levar ao roubo, corrupção ou exclusão de dados, além do comprometimento total do banco de dados. A causa raiz reside no uso de entrada controlada pelo usuário não sanitizada ao construir consultas SQL usando fmt.Sprintf, sem validar o parâmetro table. Uma requisição elaborada ao endpoint da API /sql-query com um parâmetro table malicioso pode ser usada para injetar comandos SQL.

Recomendações As versões do LF Edge eKuiper anteriores a 2.2.1 devem ser atualizadas para a versão 2.2.1.