CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41462

Critical
Published: Translated: NVD NIST

Summary

Wersje ProjeQtor od 7.0 do 12.4.3 zawierają podatność na nieautoryzowaną iniekcję SQL w funkcji logowania, gdzie zmienna logowania jest bezpośrednio łączona z zapytaniem SQL bez parametryzacji lub sanitizacji. Atakujący mogą wstrzykiwać dowolne wyrażenia SQL przez pole nazwy użytkownika w punkcie uwierzytelniania.

Risk Assessment

Podatność ta pozwala atakującym na tworzenie uprzywilejowanych kont, odczytywanie wrażliwych danych oraz wykonywanie poleceń systemu operacyjnego, jeśli użytkownik bazy danych ma podwyższone uprawnienia. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Recommendation

Zaleca się aktualizację ProjeQtor do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak parametryzacja zapytań SQL i walidacja danych wejściowych.

Original NVD description (English source)

ProjeQtor versions 7.0 through 12.4.3 contain an unauthenticated SQL injection vulnerability in the login functionality where the login variable is directly concatenated into a SQL query without parameterization or sanitization. Attackers can inject arbitrary SQL expressions through the username field at the authentication endpoint to create privileged accounts, read sensitive data, and execute operating system commands if the database user has elevated permissions.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS