CVE-2026-25241
CriticalSummary
W frameworku PEAR przed wersją 1.33.0 występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym /get/<package>/<version>, co pozwala zdalnym atakującym na wykonanie dowolnych zapytań SQL poprzez odpowiednio skonstruowaną wersję pakietu. Problem został naprawiony w wersji 1.33.0.
Risk Assessment
Organizacje korzystające z podatnej wersji PEAR mogą być narażone na ataki, które umożliwiają zdalne wykonanie nieautoryzowanych zapytań do bazy danych, co może prowadzić do utraty danych lub kompromitacji systemu.
Recommendation
Zaleca się aktualizację frameworka PEAR do wersji 1.33.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Original NVD description (English source)
PEAR is a framework and distribution system for reusable PHP components. Prior to version 1.33.0, an unauthenticated SQL injection in the /get/<package>/<version> endpoint allows remote attackers to execute arbitrary SQL via a crafted package version. This issue has been patched in version 1.33.0.

