Vulnerabilidad en Kysely (CVE-2026-32763)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

20/03/2026

Última modificación:

08/04/2026

Descripción

Kysely es un constructor de consultas SQL de TypeScript con seguridad de tipos. Las versiones hasta la 0.28.11 inclusive tienen una vulnerabilidad de inyección SQL en la compilación de rutas JSON para los dialectos de MySQL y SQLite. La función visitJSONPathLeg() añade valores controlados por el usuario de .key() y .at() directamente en literales de cadena de ruta JSON entre comillas simples (&#39;$.key&#39;) sin escapar las comillas simples. Un atacante puede salir del contexto de la cadena de ruta JSON e inyectar SQL arbitrario. Esto es inconsistente con sanitizeIdentifier(), que duplica correctamente los caracteres delimitadores para los identificadores — ambos son constructos SQL no parametrizables que requieren escape manual, pero solo los identificadores están protegidos. La versión 0.28.12 corrige el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno