CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-8264

Critical
Published: Translated: NVD NIST

Summary

Wersje pakietu z-push/z-push-dev przed 2.7.6 są podatne na atak typu SQL Injection z powodu nieparametryzowanych zapytań w backendzie IMAP. Atakujący może wstrzykiwać złośliwe polecenia, manipulując polem nazwy użytkownika w podstawowej autoryzacji.

Risk Assessment

Podatność ta pozwala atakującemu na dostęp do wrażliwych danych oraz ich modyfikację lub usunięcie z powiązanej bazy danych osób trzecich, co może prowadzić do poważnych konsekwencji dla organizacji.

Recommendation

Zaleca się zmianę konfiguracji, aby używać domyślnej opcji lub LDAP w pliku backend/imap/config.php, definiując 'IMAP_DEFAULTFROM' jako pusty ciąg lub 'ldap'.

Original NVD description (English source)

Versions of the package z-push/z-push-dev before 2.7.6 are vulnerable to SQL Injection due to unparameterized queries in the IMAP backend. An attacker can inject malicious commands by manipulating the username field in basic authentication. This allows the attacker to access and potentially modify or delete sensitive data from a linked third-party database. **Note:** This vulnerability affects Z-Push installations that utilize the IMAP backend and have the IMAP_FROM_SQL_QUERY option configured. Mitigation Change configuration to use the default or LDAP in backend/imap/config.php php define('IMAP_DEFAULTFROM', ''); or php define('IMAP_DEFAULTFROM', 'ldap');

Vulnerability data from NVD (NIST) · CISA KEV · EPSS