CVE-2026-10193
MediumCVSS 6.3Summary
W OFCMS w wersjach do 1.1.3 odkryto lukę bezpieczeństwa w funkcji Query w pliku ComnController.java. Manipulacja argumentem system.user.query prowadzi do podatności na atak typu SQL injection, który może być przeprowadzony zdalnie.
Risk Assessment
Organizacja jest narażona na ataki SQL injection, co może prowadzić do nieautoryzowanego dostępu do danych oraz ich modyfikacji. Publicznie dostępny exploit zwiększa ryzyko skutecznych ataków.
Recommendation
Zaleca się aktualizację OFCMS do najnowszej wersji, aby usunąć tę lukę. Należy również monitorować systemy pod kątem potencjalnych prób ataków oraz wprowadzić dodatkowe zabezpieczenia przed SQL injection.
Original NVD description (English source)
A security flaw has been discovered in OFCMS up to 1.1.3. The impacted element is the function Query of the file ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\ComnController.java of the component ComnController. Performing a manipulation of the argument system.user.query results in sql injection. The attack may be initiated remotely. The exploit has been released to the public and may be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.

