CVE-2026-32687 in postgrexالمعلومات

الملخص

بحسب VulDB • 12/05/2026

ثغرة "التحييد غير السليم للعناصر الخاصة المستخدمة في أمر SQL" (حقن SQL) في حزمة elixir-ecto postgrex (وحدة 'Elixir.Postgrex.Notifications') تتيح حقن SQL.

يتم دمج وسيط القناة (channel argument) المُمرَّر إلى الدالتين 'Elixir.Postgrex.Notifications':listen/3 و 'Elixir.Postgrex.Notifications':unlisten/3 مباشرةً في عبارات SQL الخاصة بـ LISTEN "..." و UNLISTEN "..." دون تهريب (escaping) حرف الاقتباس ". يمكن لمهاجم قادر على التأثير في اسم القناة أن يحقن حرف " لكسر المعرّف المحاط بين علامات الاقتباس وإضافة أوامر SQL تعسفية. ونظراً لأن اتصال الإشعارات يستخدم بروتوكول استعلام PostgreSQL البسيط (simple query protocol)، فإن حمولات متعددة العبارات مقبولة، مما يسمح بسلسلة أوامر DDL و DML (على سبيل المثال: ; DROP TABLE ...; --). يحدث نفس دمج البيانات غير المعقمة (unsanitized interpolation) أيضاً في الدالة handle_connect/1 عند إعادة تشغيل أوامر LISTEN بعد إعادة الاتصال.

ترتبط هذه الثغرة بملف البرنامج lib/postgrex/notifications.ex والإجراءات البرمجية 'Elixir.Postgrex.Notifications':listen/3، و 'Elixir.Postgrex.Notifications':unlisten/3، و 'Elixir.Postgrex.Notifications':handle_connect/1.

تؤثر هذه المشكلة في postgrex: من الإصدار 0.16.0 قبل 0.22.2، ومن pkg:github/elixir-ecto/postgrex@266b530faf9bde094e31e0e4ab851f933fadc0f5 قبل الإصدار 0.22.2.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

EEF

حجز

13/03/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363039

EPSS

0.00009

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32687
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32687
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32687/

التالي نظرة عامة السابق

Do you need the next level of professionalism?

Upgrade your account now!