CVE-2026-30951

Nome do Software Vulnerável e Versões Afetadas Sequelize versões anteriores a 6.37.8

Descrição O Sequelize, uma ferramenta ORM do Node.js, contém uma falha de injeção SQL devido ao tratamento não escapado de tipos de conversão no processamento da cláusula WHERE com JSON/JSONB. A função traverseJSON() divide as chaves do caminho JSON usando '::' para determinar um tipo de conversão, que é então incorporado diretamente às consultas SQL usando CAST(... AS <type>). Um atacante que controle as chaves do objeto JSON pode injetar código SQL arbitrário, possivelmente levando à exfiltração de dados de qualquer tabela. O componente vulnerável é a função traverseJSON().

Recomendações Atualize para a versão 6.37.8 ou posterior.