CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-27634

Critical
Published: Translated: NVD NIST

Summary

Piwigo to aplikacja do zarządzania galerią zdjęć, która przed wersją 16.3.0 miała problem z filtrowaniem dat w funkcji ws_std_image_sql_filter(). Parametry filtrów dat były łączone bezpośrednio w zapytaniach SQL, co mogło prowadzić do ataków SQL injection.

Risk Assessment

Atakujący mógł uzyskać dostęp do całej bazy danych, w tym do haszy haseł użytkowników, co stanowi poważne zagrożenie dla bezpieczeństwa danych organizacji.

Recommendation

Zaleca się aktualizację Piwigo do wersji 16.3.0 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak walidacja i eskapowanie danych wejściowych.

Original NVD description (English source)

Piwigo is an open source photo gallery application for the web. Prior to version 16.3.0, the four date filter parameters (f_min_date_available, f_max_date_available, f_min_date_created, f_max_date_created) in ws_std_image_sql_filter() are concatenated directly into SQL without any escaping or type validation. This could result in an unauthenticated attacker reading the full database, including user password hashes. This issue has been patched in version 16.3.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS