CVE-2026-42550 in coreinformación

Resumen

por VulDB • 2026-06-02

Flight es un microframework extensible para PHP. Antes de la versión 3.18.1, SimplePdo::insert(), SimplePdo::update() y SimplePdo::delete() construían sentencias SQL concatenando directamente el argumento $table y las claves del array $data en la consulta, sin citar identificadores ni realizar validación. Cuando una aplicación transmite estructuras de datos controladas por el usuario a estos métodos auxiliares —un patrón común y documentado, por ejemplo $db->insert('users', $request->data->getData())—, un atacante puede inyectar SQL arbitrario mediante la creación de claves de array maliciosas. Esta vulnerabilidad se corrige en la versión 3.18.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-28

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363738

CPE

listo

CWE

CWE-89 (confirmado)

CVSS

8.8 (CNA)

EPSS

0.00019

KEV

Actividades

bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42550
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42550
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42550/

◂ Anterior Visión De Conjunto Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!