HIGHCVE-2026-5322CVSS 7.3

AlejandroArciniegas mcp-data-vis MCP server.js 请求 SQL 注入

平台

nodejs

组件

mcp-data-vis

修复版本

597.0.1

5.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5322 是 AlejandroArciniegas mcp-data-vis 组件中发现的 SQL 注入漏洞。该漏洞允许攻击者通过操纵输入数据执行恶意 SQL 查询，可能导致敏感数据泄露或系统损坏。受影响的版本包括 ≤de5a51525a69822290eaee569a1ab447b490746d。由于该产品采用滚动发布模式，具体受影响版本信息尚不可用，建议及时关注官方更新。

影响与攻击场景

攻击者可以利用此 SQL 注入漏洞直接访问和修改数据库中的数据。这可能包括窃取用户凭据、财务信息或其他敏感数据。更严重的后果是，攻击者可能利用此漏洞执行任意代码，从而完全控制受影响的系统。由于该漏洞可以远程利用，且攻击细节已公开，因此风险较高。类似 SQL 注入漏洞可能导致大规模数据泄露和系统瘫痪，例如过去发生的数据库入侵事件。

利用背景

该漏洞已公开披露，存在被利用的风险。目前尚无公开的漏洞利用程序，但由于攻击细节已公开，攻击者可能自行开发利用程序。CISA 尚未将其添加到 KEV 目录中。建议密切关注安全社区的动态，及时采取应对措施。

哪些人处于风险中翻译中…

Organizations using mcp-data-vis in their applications, particularly those relying on Node.js environments, are at risk. Systems that handle sensitive data within the database, such as user credentials or financial information, are especially vulnerable. Applications with weak input validation or those that haven't implemented parameterized queries are also at increased risk.

检测步骤翻译中…

• nodejs / server:

grep -r "Request of the file src/servers/database/server.js" .

• nodejs / server:

journalctl -u mcp-data-vis -f | grep "SQL injection"

• generic web:

curl -I <vulnerable_endpoint> | grep -i "SQL injection"

攻击时间线

2026-04-02Disclosure
disclosure
2026-04-02PoC
poc

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件mcp-data-vis

供应商AlejandroArciniegas

影响范围修复版本

bc597e391f184d2187062fd567599a3cb72adf51 – bc597e391f184d2187062fd567599a3cb72adf51597.0.1

de5a51525a69822290eaee569a1ab447b490746d – de5a51525a69822290eaee569a1ab447b490746d5.0.1

弱点分类 (CWE)

CWE-89 CWE-74

时间线

已保留2026-04-01
发布日期2026-04-02
EPSS 更新日期2026-04-09

未修复 — 披露已52天

缓解措施和替代方案

由于 mcp-data-vis 采用滚动发布模式，无法提供具体的升级版本。建议采取以下缓解措施：首先，对所有用户输入进行严格的验证和过滤，防止恶意 SQL 代码注入。其次，使用参数化查询或预处理语句，避免直接将用户输入拼接到 SQL 查询语句中。此外，实施 Web 应用防火墙 (WAF) 或代理服务器，以检测和阻止 SQL 注入攻击。密切关注 AlejandroArciniegas 官方发布的更新和安全公告，及时应用补丁。

修复方法翻译中…

Este CVE describe una vulnerabilidad de inyección SQL en el paquete mcp-data-vis. Dado que no hay una versión fija disponible, la recomendación es dejar de usar el paquete o aplicar un parche manual a la función Request en el archivo src/servers/database/server.js para sanitizar las entradas y evitar la inyección SQL. Alternativamente, se puede implementar una capa de abstracción de base de datos que prevenga este tipo de ataques.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-5322 — SQL 注入漏洞在 mcp-data-vis 中的问题？

CVE-2026-5322 是 AlejandroArciniegas mcp-data-vis 组件中的 SQL 注入漏洞，攻击者可以通过操纵输入数据执行恶意 SQL 查询，可能导致数据泄露或篡改。

我是否受到 CVE-2026-5322 在 mcp-data-vis 中的影响？

如果您正在使用受影响的版本（≤de5a51525a69822290eaee569a1ab447b490746d），则可能受到影响。由于滚动发布模式，请密切关注官方更新。

我如何修复 CVE-2026-5322 在 mcp-data-vis 中的问题？

由于滚动发布模式，无法提供具体的升级版本。建议采取输入验证、参数化查询和 WAF 等缓解措施，并密切关注官方更新。

CVE-2026-5322 是否正在被积极利用？

虽然目前尚无公开的漏洞利用程序，但由于攻击细节已公开，存在被利用的风险。

在哪里可以找到官方 mcp-data-vis 关于 CVE-2026-5322 的公告？

请关注 AlejandroArciniegas 官方网站和安全公告，获取最新的安全信息。