CVE-2026-27005
CriticalSummary
Chartbrew to aplikacja webowa typu open-source, która może łączyć się bezpośrednio z bazami danych i API, wykorzystując dane do tworzenia wykresów. Przed wersją 4.8.3, nieautoryzowany atakujący mógł wstrzyknąć dowolne zapytanie SQL do zapytań wykonywanych na bazach danych połączonych z Chartbrew (MySQL, PostgreSQL).
Risk Assessment
Atakujący może uzyskać dostęp do danych w bazach danych, modyfikować je lub usuwać, w zależności od uprawnień użytkownika bazy danych, co stanowi poważne zagrożenie dla integralności i poufności danych organizacji.
Recommendation
Zaleca się aktualizację do wersji 4.8.3 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa baz danych połączonych z Chartbrew.
Original NVD description (English source)
Chartbrew is an open-source web application that can connect directly to databases and APIs and use the data to create charts. Prior to version 4.8.3, an unauthenticated attacker can inject arbitrary SQL into queries executed against databases connected to Chartbrew (MySQL, PostgreSQL). This allows reading, modifying, or deleting data in those databases depending on the database user's privileges. This issue has been patched in version 4.8.3.

