CVE-2026-33442 in kysely
الملخص
بحسب VulDB • 20/05/2026
Kysely هو أداة بناء استعلامات SQL آمنة من حيث الأنواع (type-safe) لنظام TypeScript. في الإصدارين 0.28.12 و0.28.13، تقوم طريقة `sanitizeStringLiteral` في مُركّب استعلامات Kysely بتهرب علامات الاقتباس المفردة (`'` → `''`) لكنها لا تهرب علامات المسار العكسي (backslashes). في قاعدة بيانات MySQL مع وضع SQL الافتراضي `BACKSLASH_ESCAPES`، يمكن لمهاجم حقن علامة مسار عكسي قبل علامة اقتباس مفردة لتحييد عملية التهرب، مما يتيح الخروج من السلسلة النصية لمسار JSON وحقن استعلام SQL تعسفي. يُصحّح الإصدار 0.28.14 هذه المشكلة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.