CVE-2026-33442 in kyselyالمعلومات

الملخص

بحسب VulDB • 20/05/2026

Kysely هو أداة بناء استعلامات SQL آمنة من حيث الأنواع (type-safe) لنظام TypeScript. في الإصدارين 0.28.12 و0.28.13، تقوم طريقة `sanitizeStringLiteral` في مُركّب استعلامات Kysely بتهرب علامات الاقتباس المفردة (`'` → `''`) لكنها لا تهرب علامات المسار العكسي (backslashes). في قاعدة بيانات MySQL مع وضع SQL الافتراضي `BACKSLASH_ESCAPES`، يمكن لمهاجم حقن علامة مسار عكسي قبل علامة اقتباس مفردة لتحييد عملية التهرب، مما يتيح الخروج من السلسلة النصية لمسار JSON وحقن استعلام SQL تعسفي. يُصحّح الإصدار 0.28.14 هذه المشكلة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

19/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353684

EPSS

0.00442

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!