CVE-2024-55586
KrytyczneStreszczenie
Nette Database w wersjach do 3.2.4 umożliwia wstrzykiwanie SQL w określonych sytuacjach, gdy nieufny filtr jest bezpośrednio przekazywany do metody where. Należy zauważyć, że dostawca twierdzi, iż jest to zamierzone zachowanie.
Ocena ryzyka
Wstrzykiwanie SQL może prowadzić do nieautoryzowanego dostępu do danych oraz ich modyfikacji, co stwarza poważne zagrożenie dla integralności i poufności danych w organizacji.
Rekomendacja
Zaleca się aktualizację Nette Database do najnowszej wersji, aby zminimalizować ryzyko związane z wstrzykiwaniem SQL oraz przeglądanie i weryfikację używanych filtrów w aplikacji.
Oryginalny opis (angielski, źródło NVD)
Nette Database through 3.2.4 allows SQL injection in certain situations involving an untrusted filter that is directly passed to the where method. NOTE: the vendor's position is that this is intended behavior.

