提出 #800865: YunaiV yudao-cloud yudao-cloud up to 2026.01 SQL Injection情報

タイトルYunaiV yudao-cloud yudao-cloud up to 2026.01 SQL Injection
説明A critical SQL injection vulnerability exists in yudao-cloud `GoViewDataServiceImpl.java`. The vulnerability allows authenticated users with the `report:go-view-data:get-by-sql` permission to execute arbitrary SQL queries, potentially leading to unauthorized data access, data manipulation, and database compromise. The `getDataBySQL` method directly executes user-provided SQL statements without any parameterization or input validation, allowing attackers to inject malicious SQL code.
ソース⚠️ https://github.com/9str0IL/CVE/issues/2
ユーザー
 9str0il (UID 97218)
送信2026年04月09日 10:59 (2 月 ago)
モデレーション2026年05月02日 10:39 (23 days later)
ステータス承諾済み
VulDBエントリ360831 [YunaiV yudao-cloud 迄 2026.01 GoViewDataServiceImpl.java getDataBySQL SQLインジェクション]
ポイント20

概要

Do you want to use VulDB in your project?

Use the official API to access entries easily!