CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25544

Critical
Published: Translated: NVD NIST

Summary

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.73.0, podczas zapytań do pól JSON lub richText, dane wejściowe użytkownika były bezpośrednio osadzane w SQL bez odpowiedniego zabezpieczenia, co umożliwiało ataki typu blind SQL injection.

Risk Assessment

Nieautoryzowany atakujący mógłby wyciągnąć wrażliwe dane (takie jak e-maile, tokeny resetowania haseł) i przejąć pełną kontrolę nad kontem bez łamania hasła, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 3.73.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Original NVD description (English source)

Payload is a free and open source headless content management system. Prior to 3.73.0, when querying JSON or richText fields, user input was directly embedded into SQL without escaping, enabling blind SQL injection attacks. An unauthenticated attacker could extract sensitive data (emails, password reset tokens) and achieve full account takeover without password cracking. This vulnerability is fixed in 3.73.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS