CVE-2026-35194 in Flinkinformation

Résumé

par VulDB • 22/05/2026

Une injection de code dans la génération de code SQL dans Apache Flink 1.15.0 à 1.20.x et 2.0.0 à 2.x permet aux utilisateurs authentifiés disposant de privilèges de soumission de requêtes d'exécuter du code arbitraire sur les TaskManagers via des requêtes SQL malveillantes et spécialement conçues. La vulnérabilité affecte les fonctions JSON (1.15.0+) et les expressions LIKE avec des clauses ESCAPE (1.17.0+). Les chaînes de caractères contrôlées par l'utilisateur sont interpolées dans le code Java généré sans échappement approprié, permettant aux attaquants de sortir des littéraux de chaîne et d'injecter des expressions arbitraires.

Il est recommandé aux utilisateurs de mettre à niveau vers les versions 1.20.4, 2.0.2, 2.1.2 ou 2.2.1, qui corrigent ce problème.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Apache

Réserver

01/04/2026

Divulgation

15/05/2026

Modérer

accepté

Entrée

VDB-364189

CPE

prêt

CWE

CWE-94 (confirmé)

CVSS

8.1 (CISA-ADP)

EPSS

0.00052

KEV

non

Activités

très faible

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35194
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35194
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35194/

◂ Précédent Aperçu Suivant ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!