Vulnerabilidad en Jackalope Doctrine-DBAL (CVE-2021-43822)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
13/12/2021
Última modificación:
17/12/2021
Descripción
Jackalope Doctrine-DBAL es una implementación de la API de Repositorio de Contenido PHP (PHPCR) que usa una base de datos relacional para persistir los datos. En las versiones afectadas los usuarios pueden provocar inyecciones SQL si pueden especificar un nombre de nodo o una consulta. Actualice a versión 1.7.4 para resolver este problema. Si no es posible, puede escapar de todos los lugares donde es usado "$property" para filtrar "sv:name" en la clase "Jackalope\Transport\DoctrineDBAL\Query\QOMWalker": "XPath::escape($property)". Los nombres de nodo y los xpaths pueden contener """ o ";" según la especificación JCR. El componente jackalope que traduce el modelo de objetos de consulta en consultas dbal de la doctrina no escapa adecuadamente los nombres y rutas, por lo que un nombre de nodo convenientemente elaborado puede llevar a una inyección SQL. Si las consultas nunca son realizadas a partir de la entrada del usuario, o si es comprobada la entrada del usuario para que no contenga ";", no está afectado
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jackalope_doctrine-dbal_project:jackalope_doctrine-dbal:*:*:*:*:*:*:*:* | 1.7.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página