Plataforma
nodejs
Componente
mcp-data-vis
Corrigido em
597.0.1
5.0.1
Uma vulnerabilidade de SQL Injection foi descoberta no componente mcp-data-vis, desenvolvido por AlejandroArciniegas. Essa falha, presente na função Request do arquivo src/servers/database/server.js, permite a manipulação remota, resultando em injeção de código SQL. A vulnerabilidade afeta versões até de5a51525a69822290eaee569a1ab447b490746d. A correção envolve a implementação de validação de entrada e o uso de prepared statements.
Um atacante explorando essa vulnerabilidade pode injetar comandos SQL maliciosos no banco de dados subjacente ao mcp-data-vis. Isso pode levar ao acesso não autorizado a dados sensíveis, como informações de usuários, dados de configuração e histórico de transações. Além disso, o atacante pode modificar ou excluir dados, comprometendo a integridade do sistema. Em cenários mais graves, a injeção SQL pode ser utilizada para obter controle sobre o servidor de banco de dados, permitindo a execução de comandos arbitrários no sistema operacional. A exploração bem-sucedida pode resultar em uma violação de dados significativa e interrupção do serviço.
A vulnerabilidade foi divulgada publicamente em 2026-04-02, indicando um risco elevado de exploração. A existência de um Proof of Concept (PoC) público aumenta ainda mais a probabilidade de ataques. A ausência de informações de versão específicas dificulta a avaliação precisa do risco, mas a natureza da vulnerabilidade e a disponibilidade de um PoC sugerem uma alta probabilidade de exploração. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations using mcp-data-vis in their applications, particularly those relying on Node.js environments, are at risk. Systems that handle sensitive data within the database, such as user credentials or financial information, are especially vulnerable. Applications with weak input validation or those that haven't implemented parameterized queries are also at increased risk.
• nodejs / server:
grep -r "Request of the file src/servers/database/server.js" . • nodejs / server:
journalctl -u mcp-data-vis -f | grep "SQL injection"• generic web:
curl -I <vulnerable_endpoint> | grep -i "SQL injection"disclosure
poc
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
Devido ao modelo de lançamento contínuo do mcp-data-vis, versões específicas afetadas ou corrigidas não estão disponíveis. A mitigação primária envolve a implementação rigorosa de validação de entrada em todos os dados fornecidos pelo usuário. Isso deve incluir a sanitização de strings e a utilização de prepared statements ou consultas parametrizadas para evitar a injeção de código SQL. Considere a implementação de um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de injeção SQL. Monitore os logs de acesso e erro em busca de padrões suspeitos que possam indicar uma tentativa de exploração. Após a implementação das medidas de mitigação, verifique a segurança do sistema executando testes de penetração e revisando o código em busca de possíveis vulnerabilidades.
Este CVE descreve uma vulnerabilidade de injeção SQL (SQL Injection) no pacote mcp-data-vis. Dado que não há uma versão fixa disponível, a recomendação é parar de usar o pacote ou aplicar um patch manual à função Request no arquivo src/servers/database/server.js para sanitizar as entradas e evitar a injeção SQL (SQL Injection). Alternativamente, pode-se implementar uma camada de abstração de banco de dados que previna este tipo de ataques.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5322 is a SQL Injection vulnerability in the mcp-data-vis component, allowing attackers to manipulate database queries and potentially access sensitive data.
If you are using mcp-data-vis versions up to de5a51525a69822290eaee569a1ab447b490746d, you are potentially affected. Due to the rolling release model, confirm with the vendor.
Upgrade to a patched version of mcp-data-vis if available. As a workaround, implement input validation and parameterized queries to prevent SQL injection.
The vulnerability has been publicly disclosed, increasing the risk of exploitation. Monitor for suspicious activity and implement mitigations promptly.
Consult the mcp-data-vis project's repository and communication channels for official advisories and updates regarding CVE-2026-5322.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.