PT-2026-60102 · Anyquery · Anyquery
Publicado
2026-07-14
·
Atualizado
2026-07-15
·
CVE-2026-54628
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Anyquery (versões afetadas não especificadas)
Descrição
Ao operar no modo servidor, o software não restringe requisições HTTP externas iniciadas por módulos de tabela virtual SQLite integrados, como
json reader e log reader. Atacantes não autenticados que se conectam através da porta do servidor compatível com MySQL podem criar tabelas virtuais que apontam para endpoints de rede interna ou IPs de Metadados de Nuvem, como http://169.254.169.254/latest/meta-data/. Isso permite a execução de Server-Side Request Forgery (SSRF), uma técnica onde um atacante induz o servidor a fazer requisições para um local não pretendido, permitindo ignorar firewalls externos, escanear portas internas, interagir com APIs internas ou exfiltrar credenciais de nuvem e tokens IAM.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Bloqueie buscas HTTP remotas para intervalos de IP locais e privados, bem como endereços de IP de Metadados de Nuvem conhecidos, a menos que sejam explicitamente habilitados via configuração.
SSRF
Missing Authorization
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Anyquery