关键漏洞信息 漏洞描述 标题: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') and Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') and Improper Neutralization of Special Elements in Data Query Logic in api/routes/posts.js 发布者: vinsdragonis 发布日期: Aug 20, 2022 漏洞影响 严重程度: High CVE ID: CVE-2022-36030 弱点: - CWE-89 - CWE-90 - CWE-943 受影响与修复版本 受影响的包: api/routes/posts.js (npm) 受影响的版本: 1.0.1 已修复的版本: None 漏洞影响详情 如果在没有充分净化的情况下使用用户提供的数据构建数据库查询(如SQL或NoSQL查询),恶意用户可能能够运行恶意的数据库查询。 解决方案 尚未修补。 解决方法 大多数数据库连接器库提供了一种方法,可以使用查询参数或预编译语句安全地将不可信数据嵌入查询中。 - 对于NoSQL查询,使用MongoDB的 操作符来确保不可信数据被解释为字面值,而不是查询对象。 额外信息 参考资料: - SQL Injection - MongoDB: $eq operator - CWE: CWE-89, CWE-90, CWE-943 更多信息: - 开放问题在 Project Nexus - 电邮我们 zrext3am128@gmail.com