CVE-2026-35194 in Flinkinformação

Sumário

de VulDB • 15/05/2026

Injeção de código na geração de código SQL no Apache Flink 1.15.0 até 1.20.x e 2.0.0 até 2.x permite que usuários autenticados com privilégios de submissão de consultas executem código arbitrário nos TaskManagers por meio de consultas SQL maliciosamente elaboradas. A vulnerabilidade afeta funções JSON (1.15.0+) e expressões LIKE com cláusulas ESCAPE (1.17.0+). Strings controladas pelo usuário são interpoladas no código Java gerado sem o escape adequado, permitindo que os invasores escapem dos literais de string e injetem expressões arbitrárias.

Recomenda-se que os usuários atualizem para as versões 1.20.4, 2.0.2, 2.1.2 ou 2.2.1, que corrigem este problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Apache

Reservar

01/04/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364189

CPE

pronto

CWE

CWE-94 (confirmado)

CVSS

8.1 (CISA-ADP)

EPSS

0.00052

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35194
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35194
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35194/

◂ Voltar Visão Geral Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!