Plateforme
nodejs
Composant
mcp-data-vis
Corrigé dans
597.0.1
5.0.1
Une vulnérabilité de type SQL Injection a été découverte dans le composant mcp-data-vis, développé par AlejandroArciniegas. Cette faille affecte la fonction Request du fichier src/servers/database/server.js et permet à un attaquant d'injecter des requêtes SQL malveillantes. Bien que la version exacte affectée ne soit pas disponible en raison du modèle de publication continue, l'exploitation est possible et a été divulguée publiquement. Des mesures d'atténuation sont recommandées.
L'exploitation réussie de cette vulnérabilité SQL Injection permet à un attaquant d'accéder, de modifier ou de supprimer des données stockées dans la base de données sous-jacente à mcp-data-vis. Un attaquant pourrait potentiellement extraire des informations sensibles telles que des identifiants d'utilisateur, des données de configuration ou des informations transactionnelles. En fonction de la configuration de la base de données, l'attaquant pourrait également obtenir un accès non autorisé à d'autres systèmes connectés à la base de données, ce qui élargirait le rayon d'impact de l'attaque. Cette vulnérabilité présente des similitudes avec d'autres attaques SQL Injection courantes, où des requêtes malformées sont injectées dans des champs d'entrée pour manipuler la logique de la base de données.
Cette vulnérabilité a été divulguée publiquement le 2026-04-02. Bien que le score EPSS ne soit pas disponible, la divulgation publique et la facilité d'exploitation suggèrent une probabilité d'exploitation élevée. Des preuves d'exploitation active n'ont pas été signalées à ce jour, mais la vulnérabilité est considérée comme critique en raison de son impact potentiel. Consultez le site web du NVD et CISA pour les mises à jour.
Organizations using mcp-data-vis in their applications, particularly those relying on Node.js environments, are at risk. Systems that handle sensitive data within the database, such as user credentials or financial information, are especially vulnerable. Applications with weak input validation or those that haven't implemented parameterized queries are also at increased risk.
• nodejs / server:
grep -r "Request of the file src/servers/database/server.js" . • nodejs / server:
journalctl -u mcp-data-vis -f | grep "SQL injection"• generic web:
curl -I <vulnerable_endpoint> | grep -i "SQL injection"disclosure
poc
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
Étant donné que mcp-data-vis utilise un modèle de publication continue et qu'une correction spécifique n'est pas disponible, l'atténuation de cette vulnérabilité nécessite une approche multicouche. Il est fortement recommandé de désactiver temporairement la fonctionnalité Request si possible. Mettez en œuvre une validation stricte des entrées côté serveur pour toutes les données soumises à la base de données, en utilisant des requêtes paramétrées ou des procédures stockées pour éviter l'injection SQL. Utilisez un pare-feu applicatif web (WAF) pour détecter et bloquer les tentatives d'injection SQL. Surveillez attentivement les journaux d'accès et d'erreurs de la base de données pour détecter toute activité suspecte. Après la mise en œuvre de ces mesures, vérifiez l'intégrité de la base de données en effectuant des tests de pénétration.
Este CVE describe una vulnerabilidad de inyección SQL en el paquete mcp-data-vis. Dado que no hay una versión fija disponible, la recomendación es dejar de usar el paquete o aplicar un parche manual a la función Request en el archivo src/servers/database/server.js para sanitizar las entradas y evitar la inyección SQL. Alternativamente, se puede implementar una capa de abstracción de base de datos que prevenga este tipo de ataques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5322 is a SQL Injection vulnerability in the mcp-data-vis component, allowing attackers to manipulate database queries and potentially access sensitive data.
If you are using mcp-data-vis versions up to de5a51525a69822290eaee569a1ab447b490746d, you are potentially affected. Due to the rolling release model, confirm with the vendor.
Upgrade to a patched version of mcp-data-vis if available. As a workaround, implement input validation and parameterized queries to prevent SQL injection.
The vulnerability has been publicly disclosed, increasing the risk of exploitation. Monitor for suspicious activity and implement mitigations promptly.
Consult the mcp-data-vis project's repository and communication channels for official advisories and updates regarding CVE-2026-5322.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.