CVE-2026-33468 in kyselyinfo

Zusammenfassung

von VulDB • 15.05.2026

Kysely ist ein typsicherer SQL-Abfrage-Builder für TypeScript. Vor Version 0.28.14 enthielt `DefaultQueryCompiler.sanitizeStringLiteral()` in Kysely nur eine Escape-Funktion für einfache Anführungszeichen durch Verdopplung (`'` → `''`), führte jedoch keine Escaping für Backslashes durch. Bei Verwendung mit dem MySQL-Dialekt (wo `NO_BACKSLASH_ESCAPES` standardmäßig AUS ist), kann ein Angreifer einen Backslash nutzen, um das abschließende Anführungszeichen eines String-Literals zu escapen, wodurch der String-Kontext verlassen und beliebiger SQL-Code injiziert werden kann. Dies betrifft jeden Codepfad, der `ImmediateValueTransformer` zur Inline-Einfügung von Werten verwendet – insbesondere `CreateIndexBuilder.where()` und `CreateViewBuilder.as()`. Version 0.28.14 enthält eine Korrektur.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.03.2026

Veröffentlichung

26.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353687

CPE

bereit

CWE

CWE-89 (bestätigt)

CVSS

8.1 (CNA)

EPSS

0.00034

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33468
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33468
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33468/

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!