CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41478

Critical
Published: Translated: NVD NIST

Summary

Saltcorn to rozbudowany, otwarty system do budowy aplikacji bazodanowych bez kodu. Przed wersjami 1.4.6, 1.5.6 i 1.6.0-beta.5 występowała podatność na wstrzykiwanie SQL w trasach synchronizacji mobilnej, która pozwalała uwierzytelnionym użytkownikom o niskich uprawnieniach na wstrzykiwanie dowolnego SQL przez parametry synchronizacji.

Risk Assessment

Podatność ta może prowadzić do pełnej eksfiltracji bazy danych, w tym haszy haseł administratorów oraz tajemnic konfiguracyjnych, a także umożliwić modyfikację lub zniszczenie bazy danych, w zależności od backendu.

Recommendation

Zaleca się aktualizację do wersji 1.4.6, 1.5.6 lub 1.6.0-beta.5, aby usunąć tę podatność.

Original NVD description (English source)

Saltcorn is an extensible, open source, no-code database application builder. Prior to 1.4.6, 1.5.6, and 1.6.0-beta.5, a SQL injection vulnerability in Saltcorn’s mobile-sync routes allows any authenticated low-privilege user with read access to at least one table to inject arbitrary SQL through sync parameters. This can lead to full database exfiltration, including admin password hashes and configuration secrets, and may also enable database modification or destruction depending on the backend. This vulnerability is fixed in 1.4.6, 1.5.6, and 1.6.0-beta.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS