Description
A weakness has been identified in Korzh EasyQuery up to 7.4.0. This issue affects some unknown processing of the file /api/easyquery/models/nwind/fetch of the component Query Builder UI. This manipulation causes sql injection. The attack may be initiated remotely. The exploit has been made available to the public and could be exploited.
In Korzh EasyQuery bis 7.4.0 wurde eine Schwachstelle gefunden. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Datei /api/easyquery/models/nwind/fetch der Komponente Query Builder UI. Dank der Manipulation mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Die Ausnutzung wurde veröffentlicht und kann verwendet werden.
Problem types
Product status
7.1
7.2
7.3
7.4.0
Timeline
| 2025-09-13: | Advisory disclosed |
| 2025-09-13: | VulDB entry created |
| 2025-09-13: | VulDB entry last update |
Credits
cbauhofer (VulDB User)
References
vuldb.com/?id.323834 (VDB-323834 | Korzh EasyQuery Query Builder UI fetch sql injection)
vuldb.com/?ctiid.323834 (VDB-323834 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.646353 (Submit #646353 | korzh.com EasyQuery <=7.4.0 SQL Injection)
