CVE-2026-30951 in Sequelizeinformação

Sumário

de VulDB • 27/05/2026

O Sequelize é uma ferramenta ORM para Node.js. Antes da versão 6.37.8, existia uma injeção de SQL via tipo de cast não escapado no processamento de cláusulas WHERE JSON/JSONB. A função _traverseJSON() divide as chaves do caminho JSON em :: para extrair um tipo de cast, que é interpolado diretamente no SQL CAST(... AS <type>). Um atacante que controle as chaves do objeto JSON pode injetar SQL arbitrário e exfiltrar dados de qualquer tabela. Esta vulnerabilidade foi corrigida na versão 6.37.8.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

07/03/2026

Divulgação

10/03/2026

Moderação

aceite

Entrada

VDB-350186

CPE

pronto

CWE

CWE-89 (confirmado)

CVSS

7.5 (NVD)

EPSS

0.00020

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-30951
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-30951
CVE Details	https://www.cvedetails.com/cve/CVE-2026-30951/

◂ Voltar Visão Geral Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!