漏洞标题
N/A
漏洞描述信息
waterline-sequel 是一个模块,可以帮助为 Waterline 应用程序生成 SQL 语句。任何用户输入进入 Waterline 的 `like`, `contains`, `startsWith`, 或 `endsWith` 都会最终进入 Waterline-sequel,具有恶意代码的潜力。恶意用户可以在 Waterline-sequel 0.50 中输入自己的 SQL 语句,这些语句将得到执行并完全访问数据库。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
waterline-sequel is a module that helps generate SQL statements for Waterline apps Any user input that goes into Waterline's `like`, `contains`, `startsWith`, or `endsWith` will end up in waterline-sequel with the potential for malicious code. A malicious user can input their own SQL statements in waterline-sequel 0.50 that will get executed and have full access to the database.
CVSS信息
N/A
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
waterline-sequel 安全漏洞
漏洞描述信息
waterline-sequel是一个用于从Waterline查询语言生成SQL查询的辅助库。 waterline-sequel 0.50版本中存在安全漏洞。攻击者可利用该漏洞注入并执行SQL语句,获取数据库的全部访问权限。
CVSS信息
N/A
漏洞类别
SQL注入