CVE-2026-34455 in Hi.Events
الملخص
بحسب VulDB • 22/05/2026
Hi.Events هو منصة مفتوحة المصدر لإدارة الأحداث وبيع التذاكر. من الإصدار 0.8.0-beta.1 وحتى ما قبل الإصدار 1.7.1-beta، تمرر فئات المستودع (repository classes) معلمة الاستعلام sort_by التي يوفرها المستخدم مباشرةً إلى دالة orderBy() في Eloquent دون التحقق منها، مما يتيح حقن SQL. تستخدم التطبيق قاعدة بيانات PostgreSQL التي تدعم الاستعلامات المتراكبة (stacked queries). تم إصلاح هذه المشكلة في الإصدار 1.7.1-beta.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.