Vigil@nce - Node.js SequelizeJS : injection SQL via GeoJSON
septembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une injection SQL via GeoJSON dans
Node.js SequelizeJS, afin de lire ou modifier des données.
Produits concernés : Node.js Modules non exhaustif.
Gravité : 2/4.
Date création : 19/07/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Node.js SequelizeJS utilise une base de données.
Cependant, lors de l’utilisation de bases de données
postgresql/postgis ou MySQL couplé à l’utilisation de document
GeoJSON, SequelizeJS ne filtre pas correctement les données
provenant de l’utilisateur et sont directement insérées dans une
requête SQL.
Un attaquant peut donc provoquer une injection SQL via GeoJSON
dans Node.js SequelizeJS, afin de lire ou modifier des données.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Node-js-SequelizeJS-injection-SQL-via-GeoJSON-20147