CVE-2024-55586
CriticalSummary
Nette Database w wersjach do 3.2.4 umożliwia wstrzykiwanie SQL w określonych sytuacjach, gdy nieufny filtr jest bezpośrednio przekazywany do metody where. Należy zauważyć, że dostawca twierdzi, iż jest to zamierzone zachowanie.
Risk Assessment
Wstrzykiwanie SQL może prowadzić do nieautoryzowanego dostępu do danych oraz ich modyfikacji, co stwarza poważne zagrożenie dla integralności i poufności danych w organizacji.
Recommendation
Zaleca się aktualizację Nette Database do najnowszej wersji, aby zminimalizować ryzyko związane z wstrzykiwaniem SQL oraz przeglądanie i weryfikację używanych filtrów w aplikacji.
Original NVD description (English source)
Nette Database through 3.2.4 allows SQL injection in certain situations involving an untrusted filter that is directly passed to the where method. NOTE: the vendor's position is that this is intended behavior.

