PT-2026-60103 · Anyquery · Anyquery
Publicado
2026-07-14
·
Atualizado
2026-07-15
·
CVE-2026-54629
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Anyquery (versões afetadas não especificadas)
Descrição
Quando operado no modo servidor, o software carece de sanitização de entrada e controle de acesso para seus módulos de tabela virtual SQLite integrados, como
csv reader e log reader. Atacantes não autenticados podem se conectar à porta do servidor compatível com MySQL e criar tabelas virtuais que apontam para arquivos locais no sistema. Isso ocorre porque o manipulador do servidor não restringe esses módulos a diretórios seguros, permitindo que o processo leia qualquer arquivo ao qual tenha acesso, incluindo configurações sensíveis do sistema e credenciais.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Implemente um mecanismo de sandboxing no modo servidor para limitar as operações
read * a diretórios designados.Files Accessible to External Parties
Missing Authorization
Path traversal
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Anyquery