Katalog CVE

CVE-2026-25993

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

EverShop to platforma eCommerce oparta na TypeScript. Podczas aktualizacji i usuwania kategorii, aplikacja wprowadza wartości ścieżki / request_path, pochodzące z url_key przechowywanego w bazie danych, do instrukcji SQL poprzez konkatenację łańcuchów, co prowadzi do drugorzędnej podatności na wstrzyknięcie SQL.

Ocena ryzyka

Złośliwy ciąg zapisany w url_key może zmodyfikować i wykonać instrukcję SQL, co stwarza poważne zagrożenie dla integralności danych w aplikacji. Organizacje mogą być narażone na ataki, które mogą prowadzić do nieautoryzowanego dostępu do danych.

Rekomendacja

Zaleca się aktualizację do wersji 2.1.1 lub nowszej, aby załatać tę podatność. Dodatkowo, warto wdrożyć mechanizmy walidacji danych wejściowych, aby zapobiec wstrzyknięciom SQL.

Oryginalny opis (angielski, źródło NVD)

EverShop is a TypeScript-first eCommerce platform. During category update and deletion event handling, the application embeds path / request_path values—derived from the url_key stored in the database—into SQL statements via string concatenation and passes them to execute(). As a result, if a malicious string is stored in url_key , subsequent event processing modifies and executes the SQL statement, leading to a second-order SQL injection. Patched from v2.1.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS