CVE-2026-30951 in Sequelizeالمعلومات

الملخص

بحسب VulDB • 27/05/2026

Sequelize هو أداة ORM لنظام Node.js. قبل الإصدار 6.37.8، كان هناك ثقب حقن SQL (SQL Injection) ناتج عن نوع التحويل (cast type) غير الهروب منه في معالجة شرط WHERE الخاص بـ JSON/JSONB. تقوم الدالة `_traverseJSON()` بتقسيم مفاتيح مسار JSON على "::" لاستخراج نوع التحويل، والذي يتم إدراجه بشكل خام في استعلام SQL بصيغة `CAST(... AS <type>)`. يمكن لمهاجم يتحكم في مفاتيح كائن JSON حقن SQL تعسفي واستخراج البيانات من أي جدول. تم إصلاح هذا الثقب الأمني في الإصدار 6.37.8.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

07/03/2026

إفشاء

10/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-350186

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

7.5 (NVD)

EPSS

0.00020

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-30951
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-30951
CVE Details	https://www.cvedetails.com/cve/CVE-2026-30951/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!