Marten has an injection vulnerability in its full-text search regConfig parameter — CVE-2026-45288
GHSA · GitHub · CVE-2026-45288
ID
CVE-2026-45288
CVE-2026-45288
Datum
Activity
Quelle
GHSA
GHSA
Vendor
GitHub
GitHub
Risiko
critical
critical
CVSS
9.8
9.8
Zusammenfassung
## Summary Marten's full-text search APIs interpolated the user-supplied `regConfig` parameter directly into the generated SQL without parameterization or validation, making every code path that exposes `regConfig` to untrusted input a SQL injection sink. ## Affected APIs - `IQuerySession.SearchAsync<T>(string searchTerm, string regConfig, ...)` - `IQuerySession.PlainTextSearchAsync<T>(...)` -…
Produkt
nuget: Marten
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.