Критическая уязвимость внедрения SQL в MariaDBFilterExpressionConverter от Spring AI позволяет злоумышленникам обходить средства контроля доступа на основе метаданных и выполнять произвольные команды SQL.
Уязвимость существует из-за отсутствия очистки входных данных.
Показать оригинальное описание (EN)
A critical SQL injection vulnerability in Spring AI's MariaDBFilterExpressionConverter allows attackers to bypass metadata-based access controls and execute arbitrary SQL commands. The vulnerability exists due to missing input sanitization.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1