PT-2026-60102 · Anyquery · Anyquery

Publicado

2026-07-14

·

Atualizado

2026-07-15

·

CVE-2026-54628

CVSS v3.1

8.6

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Anyquery (versões afetadas não especificadas)
Descrição Ao operar no modo servidor, o software não restringe requisições HTTP externas iniciadas por módulos de tabela virtual SQLite integrados, como json reader e log reader. Atacantes não autenticados que se conectam através da porta do servidor compatível com MySQL podem criar tabelas virtuais que apontam para endpoints de rede interna ou IPs de Metadados de Nuvem, como http://169.254.169.254/latest/meta-data/. Isso permite a execução de Server-Side Request Forgery (SSRF), uma técnica onde um atacante induz o servidor a fazer requisições para um local não pretendido, permitindo ignorar firewalls externos, escanear portas internas, interagir com APIs internas ou exfiltrar credenciais de nuvem e tokens IAM.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Bloqueie buscas HTTP remotas para intervalos de IP locais e privados, bem como endereços de IP de Metadados de Nuvem conhecidos, a menos que sejam explicitamente habilitados via configuração.

SSRF

Missing Authorization

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54628
GHSA-HWRQ-8WXH-Q4XV

Produtos afetados

Anyquery