CVE-2026-33468 in kysely정보

요약

\~에 의해 VulDB • 2026. 05. 26.

Kysely는 타입 안전한 TypeScript SQL 쿼리 빌더입니다. 버전 0.28.14 이전의 Kysely에서 `DefaultQueryCompiler.sanitizeStringLiteral()`은 작은따옴표(`'`)를 두 배로 늘리는 방식(`'` → `''`)으로만 이스케이프 처리하고 역슬래시(\)는 이스케이프 처리하지 않습니다. MySQL 다이얼렉트(기본적으로 `NO_BACKSLASH_ESCAPES`가 OFF 상태)에서 사용할 경우, 공격자는 역슬래시를 사용하여 문자 리터럴의 후행 작은따옴표를 이스케이프 처리함으로써 문자 컨텍스트를 탈출하고 임의의 SQL을 주입할 수 있습니다. 이는 값을 인라인으로 삽입하기 위해 `ImmediateValueTransformer`를 사용하는 모든 코드 경로, 특히 `CreateIndexBuilder.where()` 및 `CreateViewBuilder.as()`에 영향을 미칩니다. 버전 0.28.14에는 수정 사항이 포함되어 있습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 03. 20.

공개

2026. 03. 26.

모더레이션

수락

항목

VDB-353687

CPE

준비됨

CWE

CWE-89 (확인됨)

CVSS

8.1 (CNA)

EPSS

0.00034

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33468
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33468
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33468/

◂ 이전 개요 다음 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!