CVEbaza.plSłownik CWECWE-943
Common Weakness Enumeration

CWE-943

Improper Neutralization of Special Elements in Data Query Logic

Kategoria: ClassCVE: 60
Opis

Produkt generuje zapytanie mające na celu dostęp lub manipulację danych w magazynie danych takim jak baza danych, ale nie neutralizuje lub nieprawidłowo neutralizuje elementy specjalne, które mogą zmodyfikować zamierzoną logikę zapytania. Ta luka pozwala atakującemu na wprowadzenie złośliwego kodu lub modyfikację logiki zapytania poprzez niezaneutralizowane znaki specjalne.

Description (EN)

The product generates a query intended to access or manipulate data in a data store such as a database, but it does not neutralize or incorrectly neutralizes special elements that can modify the intended logic of the query.

Podatności CVE z CWE-943 (60)
10.0
CVSS
CRITICAL
CVE-2026-54350

Podatność w platformie Budibase (wersje przed 3.39.12) umożliwia nieuwierzytelnionemu atakującemu odczytanie wszystkich dokumentów z kolekcji baz danych (MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL, REST) oraz — przy spełnieniu określonego warunku — ich masową modyfikację za pomocą jednego żądania HTTP. Wysoki poziom krytyczności wynika z braku jakichkolwiek wymagań co do uwierzytelnienia i szerokiego zakresu wpływu na dane.

pub. 2026-06-26
9.9
CVSS
CRITICAL
CVE-2024-4872

W produkcie MicroSCADA Pro/X SYS600 firmy Hitachi Energy istnieje podatność w mechanizmie walidacji zapytań, umożliwiająca uwierzytelnionemu atakującemu wstrzyknięcie kodu do trwałych danych. Wysoki wynik CVSS (9.9) oraz zasięg wykraczający poza kontekst aplikacji (Scope: Changed) czynią tę lukę krytycznym zagrożeniem dla środowisk przemysłowych.

pub. 2024-08-27
9.9
CVSS
CRITICAL
CVE-2022-36084

cruddl is software for creating a GraphQL API for a database, using the GraphQL SDL to model a schema. If cruddl starting with version 1.1.0 and prior to versions 2.7.0 and 3.0.2 is used to generate a schema that uses `@flexSearchFulltext`, users of that schema may be able to inject arbitrary AQL queries that will be forwarded to and executed by ArangoDB. Schemas that do not use `@flexSearchFulltext` are not affected. The attacker needs to have `READ` permission to at least one root entity type that has `@flexSearchFulltext` enabled. The issue has been fixed in version 3.0.2 and in version 2.7.0 of cruddl. As a workaround, users can temporarily remove `@flexSearchFulltext` from their schemas.

pub. 2022-09-08
9.8
CVSS
CRITICAL
CVE-2026-40351

FastGPT w wersjach przed 4.14.9.5 zawiera podatność typu NoSQL injection w endpoincie logowania opartym na haśle, która pozwala nieuwierzytelnionemu atakującemu zalogować się jako dowolny użytkownik, w tym administrator root. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją wyjątkowo poważnym zagrożeniem.

pub. 2026-04-17
9.8
CVSS
CRITICAL
CVE-2020-36195

An SQL injection vulnerability has been reported to affect QNAP NAS running Multimedia Console or the Media Streaming add-on. If exploited, the vulnerability allows remote attackers to obtain application information. QNAP has already fixed this vulnerability in the following versions of Multimedia Console and the Media Streaming add-on. QTS 4.3.3: Media Streaming add-on 430.1.8.10 and later QTS 4.3.6: Media Streaming add-on 430.1.8.8 and later QTS 4.4.x and later: Multimedia Console 1.3.4 and later We have also fixed this vulnerability in the following versions of QTS 4.3.3 and QTS 4.3.6, respectively: QTS 4.3.3.1624 Build 20210416 or later QTS 4.3.6.1620 Build 20210322 or later

pub. 2021-04-17
9.3
CVSS
CRITICAL
CVE-2026-41274

Podatność w aplikacji Flowise umożliwia atakującemu wstrzyknięcie dowolnych komend Cypher do silnika zapytań bazy danych Neo4j bez żadnego uwierzytelnienia. Ze względu na brak sanityzacji danych wejściowych i wysoki wynik CVSS 9.3, zagrożenie jest oceniane jako krytyczne.

pub. 2026-04-23
9.3
CVSS
CRITICAL
CVE-2026-32248

Nieuwierzytelniony atakujący może przejąć dowolne konto użytkownika w Parse Server, jeśli zostało ono utworzone za pomocą dostawcy uwierzytelniania nieweryfikującego formatu identyfikatora użytkownika (np. uwierzytelnianie anonimowe). Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji ofiary, a anonimowe uwierzytelnianie jest domyślnie włączone.

pub. 2026-03-12
9.3
CVSS
CRITICAL
CVE-2026-29793

W bibliotece Feathers.js (wersje 5.0.0–5.0.41) klienci Socket.IO mogą przesyłać dowolne obiekty JavaScript jako argument id do metod serwisowych, co prowadzi do wstrzyknięcia operatorów MongoDB. Podatność umożliwia nieuprawniony dostęp do wszystkich dokumentów w kolekcji bez żadnego uwierzytelnienia.

pub. 2026-03-10
9.2
CVSS
CRITICAL
CVE-2026-27886

Podatność w Strapi (CMS) pozwala nieuwierzytelnionemu atakującemu na odczyt prywatnych pól tabeli administratorów, w tym tokenu resetowania hasła, co umożliwia pełne przejęcie konta administracyjnego bez logowania. Problem dotyczy wersji 4.0.0 do 5.36.x i wynika z niewystarczającej sanityzacji parametrów zapytań filtrujących dane przez pola relacyjne.

pub. 2026-05-14
9.1
CVSS
CRITICAL
CVE-2026-45688

Podatność w mechanizmie logowania CAS platformy Rocket.Chat pozwala nieuwierzytelnionemu atakującemu na wstrzyknięcie operatora zapytania MongoDB zamiast oczekiwanego tokenu biletu CAS, całkowicie omijając weryfikację tożsamości. Skutkiem jest przejęcie sesji dowolnego użytkownika — w tym administratora — co może prowadzić do pełnego przejęcia instancji.

pub. 2026-06-24
9.1
CVSS
CRITICAL
CVE-2026-45689

Niezauwierzytelniony atakujący sieciowy może uzyskać ważny token dostępu OAuth dowolnego użytkownika Rocket.Chat poprzez wysłanie pojedynczego żądania HTTP POST z operatorami zapytań MongoDB. W przypadku uzyskania tokenu administratora możliwe jest zdalne wykonanie kodu po stronie serwera.

pub. 2026-06-24
9.1
CVSS
CRITICAL
CVE-2026-41327

Podatność w Dgraph (przed wersją 25.3.3) pozwala nieuwierzytelnionemu atakującemu na pełny odczyt wszystkich danych z bazy poprzez wstrzyknięcie dodatkowego bloku zapytania DQL w polu cond mutacji upsert. Zagrożenie dotyczy domyślnej konfiguracji Dgraph, w której kontrola dostępu ACL nie jest włączona.

pub. 2026-04-24
9.1
CVSS
CRITICAL
CVE-2026-41328

Podatność w Dgraph (wersje przed 25.3.3) umożliwia nieuwierzytelnionemu atakującemu uzyskanie pełnego dostępu do odczytu wszystkich danych w bazie poprzez DQL injection. Zagrożenie dotyczy domyślnej konfiguracji, w której mechanizm ACL nie jest włączony.

pub. 2026-04-24
8.8
CVSS
HIGH
CVE-2026-40352

FastGPT is an AI Agent building platform. In versions prior to 4.14.9.5, the password change endpoint is vulnerable to NoSQL injection. An authenticated attacker can bypass the "old password" verification by injecting MongoDB query operators. This allows an attacker who has gained a low-privileged session to change the password of their account (or others if combined with ID manipulation) without knowing the current one, leading to full account takeover and persistence. This issue has been fixed in version 4.14.9.5.

pub. 2026-04-17
8.8
CVSS
HIGH
CVE-2018-7829

An Improper Neutralization of Special Elements in Query vulnerability exists in the 1st Gen. Pelco Sarix Enhanced Camera and Spectra Enhanced PTZ Camera which allows an attacker to execute arbitrary system commands.

pub. 2019-05-22
8.8
CVSS
HIGH
CVE-2017-12904

Improper Neutralization of Special Elements used in an OS Command in bookmarking function of Newsbeuter versions 0.7 through 2.9 allows remote attackers to perform user-assisted code execution by crafting an RSS item that includes shell code in its title and/or URL.

pub. 2017-08-23
8.7
CVSS
HIGH
CVE-2026-47181

PenguinMod-BackendApi is the backend api for penguinmod. Prior to version 1.0.0, a NoSQL injection vulnerability in the password reset endpoint allows any authenticated user to change the password of an account, leading to full account takeover. An attacker only needs a registered account and a valid password reset token for their own account. This issue has been patched in version 1.0.0.

pub. 2026-06-11
8.7
CVSS
HIGH
CVE-2026-30941

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 8.6.14 and 9.5.2-alpha.1, NoSQL injection vulnerability allows an unauthenticated attacker to inject MongoDB query operators via the token field in the password reset and email verification resend endpoints. The token value is passed to database queries without type validation and can be used to extract password reset and email verification tokens. Any Parse Server deployment using MongoDB with email verification or password reset enabled is affected. When emailVerifyTokenReuseIfValid is configured, the email verification token can be fully extracted and used to verify a user's email address without inbox access. This vulnerability is fixed in 8.6.14 and 9.5.2-alpha.1.

pub. 2026-03-10
8.7
CVSS
HIGH
CVE-2026-25514

FacturaScripts is open-source enterprise resource planning and accounting software. Prior to version 2025.81, FacturaScripts contains a critical SQL injection vulnerability in the autocomplete functionality that allows authenticated attackers to extract sensitive data from the database including user credentials, configuration settings, and all stored business data. The vulnerability exists in the CodeModel::all() method where user-supplied parameters are directly concatenated into SQL queries without sanitization or parameterized binding. This issue has been patched in version 2025.81.

pub. 2026-02-04
8.6
CVSS
HIGH
CVE-2026-47835

In Spring AI Vector Stores, special characters could be used to force the execution of arbitrary queries in Elasticsearch, OpenSearch, and GemFire VectorDB. Affected components: spring-ai-elasticsearch-store, spring-ai-opensearch-store, spring-ai-gemfire-store. Affected versions: Spring AI 1.0.0 through 1.0.x (fix 1.0.9). Spring AI 1.1.0 through 1.1.x (fix 1.1.8).

pub. 2026-06-15
Pokazano 20 z 60 podatności
Informacje
ID: CWE-943
Typ: Class
Podatności: 60
MITRE CWE ↗
← Słownik CWE
CWE-943 — Nieprawidłowa neutralizacja elementów specjalnych w logice zapytań danych | Słownik CWE | CVEbaza.pl