CVE-2026-34455 in Hi.Eventsالمعلومات

الملخص

بحسب VulDB • 22/05/2026

Hi.Events هو منصة مفتوحة المصدر لإدارة الأحداث وبيع التذاكر. من الإصدار 0.8.0-beta.1 وحتى ما قبل الإصدار 1.7.1-beta، تمرر فئات المستودع (repository classes) معلمة الاستعلام sort_by التي يوفرها المستخدم مباشرةً إلى دالة orderBy() في Eloquent دون التحقق منها، مما يتيح حقن SQL. تستخدم التطبيق قاعدة بيانات PostgreSQL التي تدعم الاستعلامات المتراكبة (stacked queries). تم إصلاح هذه المشكلة في الإصدار 1.7.1-beta.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354761

EPSS

0.00350

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!