CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-55586

Critical
Published: Translated: NVD NIST

Summary

Nette Database w wersjach do 3.2.4 umożliwia wstrzykiwanie SQL w określonych sytuacjach, gdy nieufny filtr jest bezpośrednio przekazywany do metody where. Należy zauważyć, że dostawca twierdzi, iż jest to zamierzone zachowanie.

Risk Assessment

Wstrzykiwanie SQL może prowadzić do nieautoryzowanego dostępu do danych oraz ich modyfikacji, co stwarza poważne zagrożenie dla integralności i poufności danych w organizacji.

Recommendation

Zaleca się aktualizację Nette Database do najnowszej wersji, aby zminimalizować ryzyko związane z wstrzykiwaniem SQL oraz przeglądanie i weryfikację używanych filtrów w aplikacji.

Original NVD description (English source)

Nette Database through 3.2.4 allows SQL injection in certain situations involving an untrusted filter that is directly passed to the where method. NOTE: the vendor's position is that this is intended behavior.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS