प्लेटफ़ॉर्म
nodejs
घटक
mcp-data-vis
में ठीक किया गया
597.0.1
5.0.1
CVE-2026-5322 AlejandroArciniegas mcp-data-vis में एक SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या डेटाबेस को संशोधित किया जा सकता है। यह भेद्यता de5a51525a69822290eaee569a1ab447b490746d या उससे पहले के संस्करणों को प्रभावित करती है। समस्या को ठीक करने के लिए नवीनतम संस्करण में अपडेट करने की सलाह दी जाती है।
यह SQL इंजेक्शन भेद्यता हमलावरों को डेटाबेस क्वेरीज़ को इंजेक्ट करने की अनुमति देती है, जिससे वे डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं, डेटाबेस को संशोधित कर सकते हैं या यहां तक कि सर्वर पर कमांड निष्पादित कर सकते हैं। एक सफल शोषण से डेटा उल्लंघन, सेवा से इनकार या सिस्टम समझौता हो सकता है। चूंकि mcp-data-vis का उपयोग विभिन्न अनुप्रयोगों में किया जा सकता है, इसलिए भेद्यता का प्रभाव व्यापक हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह दूर से शुरू की जा सकती है, जिससे हमलावर के लिए सिस्टम में प्रवेश करना आसान हो जाता है। इस तरह के SQL इंजेक्शन भेद्यता का शोषण करने के लिए, हमलावर को src/servers/database/server.js फ़ाइल में Request फ़ंक्शन के माध्यम से दुर्भावनापूर्ण SQL क्वेरीज़ इंजेक्ट करने की आवश्यकता होगी।
CVE-2026-5322 का शोषण सार्वजनिक रूप से ज्ञात है और इसका उपयोग किया जा सकता है। इस भेद्यता के लिए KEV स्कोर अभी तक निर्धारित नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए भेद्यता का शोषण करना आसान बनाते हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो इसकी गंभीरता को दर्शाता है।
Organizations using mcp-data-vis in their applications, particularly those relying on Node.js environments, are at risk. Systems that handle sensitive data within the database, such as user credentials or financial information, are especially vulnerable. Applications with weak input validation or those that haven't implemented parameterized queries are also at increased risk.
• nodejs / server:
grep -r "Request of the file src/servers/database/server.js" . • nodejs / server:
journalctl -u mcp-data-vis -f | grep "SQL injection"• generic web:
curl -I <vulnerable_endpoint> | grep -i "SQL injection"disclosure
poc
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5322 के लिए प्राथमिक शमन नवीनतम संस्करण में mcp-data-vis को अपडेट करना है। चूंकि यह उत्पाद एक रोलिंग रिलीज़ मॉडल का उपयोग करता है, इसलिए विशिष्ट संस्करण जानकारी उपलब्ध नहीं है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को कम किया जा सकता है। WAF को SQL इंजेक्शन पैटर्न का पता लगाने और ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, इनपुट सत्यापन और पैरामीटराइज़्ड क्वेरीज़ का उपयोग करके एप्लिकेशन कोड को सुरक्षित किया जाना चाहिए। इनपुट सत्यापन यह सुनिश्चित करता है कि उपयोगकर्ता इनपुट मान्य है और दुर्भावनापूर्ण कोड नहीं है। पैरामीटराइज़्ड क्वेरीज़ SQL इंजेक्शन हमलों को रोकने में मदद करती हैं क्योंकि वे क्वेरी और डेटा को अलग करती हैं।
Este CVE describe una vulnerabilidad de inyección SQL en el paquete mcp-data-vis. Dado que no hay una versión fija disponible, la recomendación es dejar de usar el paquete o aplicar un parche manual a la función Request en el archivo src/servers/database/server.js para sanitizar las entradas y evitar la inyección SQL. Alternativamente, se puede implementar una capa de abstracción de base de datos que prevenga este tipo de ataques.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5322 AlejandroArciniegas mcp-data-vis में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है।
यदि आप de5a51525a69822290eaee569a1ab447b490746d या उससे पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
समस्या को ठीक करने के लिए नवीनतम संस्करण में mcp-data-vis को अपडेट करें।
CVE-2026-5322 का शोषण सार्वजनिक रूप से ज्ञात है और इसका उपयोग किया जा सकता है।
आधिकारिक सलाहकार के लिए AlejandroArciniegas की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।