PT-2026-60103 · Anyquery · Anyquery

Publicado

2026-07-14

·

Atualizado

2026-07-15

·

CVE-2026-54629

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Anyquery (versões afetadas não especificadas)
Descrição Quando operado no modo servidor, o software carece de sanitização de entrada e controle de acesso para seus módulos de tabela virtual SQLite integrados, como csv reader e log reader. Atacantes não autenticados podem se conectar à porta do servidor compatível com MySQL e criar tabelas virtuais que apontam para arquivos locais no sistema. Isso ocorre porque o manipulador do servidor não restringe esses módulos a diretórios seguros, permitindo que o processo leia qualquer arquivo ao qual tenha acesso, incluindo configurações sensíveis do sistema e credenciais.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Implemente um mecanismo de sandboxing no modo servidor para limitar as operações read * a diretórios designados.

Files Accessible to External Parties

Missing Authorization

Path traversal

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54629
GHSA-MF78-3RPF-R784

Produtos afetados

Anyquery