CVE-2026-44635 in kysely
要約
〜によって VulDB • 2026年05月27日
Kyselyは、型安全なTypeScript製SQLクエリビルダーです。バージョン0.26.0から0.28.16にかけて、DefaultQueryCompiler.visitJSONPathLegはJSONパスのメタ文字(., [, ], *, **, ?)をエスケープしていません。攻撃者が制御可能な入力がeb.ref(col, '->$').key(input)や.at(input)に流入する場合(JSONカラムがRecordのような形状をしており、K extends stringが推論される型安全なコードを含む)、すべてのドットがパス区切り文字として扱われ、攻撃者は意図したキーから、開発者が公開する意図がなかった兄弟フィールドや子フィールドへとトラバースできます。その結果、MySQL、PostgreSQL(->$/->>$)、SQLiteにおいて、意図したスコープ外のJSONサブフィールドに対する読み取りアクセス(および更新文における書き込みアクセス)が可能になります。この脆弱性は0.28.17で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.