CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-4324

MediumCVSS 5.4
Published: Updated: Translated: NVD NIST

Summary

Wtyczka Katello dla Red Hat Satellite zawiera lukę, która wynika z niewłaściwego oczyszczania danych wejściowych dostarczanych przez użytkowników. Umożliwia to zdalnemu atakującemu wstrzykiwanie dowolnych poleceń SQL do parametru sort_by w punkcie końcowym API /api/hosts/bootc_images.

Risk Assessment

Luka ta może prowadzić do odmowy usługi (DoS) poprzez wywoływanie błędów w bazie danych oraz potencjalnie umożliwić atakującemu wydobycie wrażliwych informacji z bazy danych.

Recommendation

Zaleca się aktualizację wtyczki Katello do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby zminimalizować ryzyko związane z wstrzykiwaniem SQL.

Original NVD description (English source)

A flaw was found in the Katello plugin for Red Hat Satellite. This vulnerability, caused by improper sanitization of user-provided input, allows a remote attacker to inject arbitrary SQL commands into the sort_by parameter of the /api/hosts/bootc_images API endpoint. This can lead to a Denial of Service (DoS) by triggering database errors, and potentially enable Boolean-based Blind SQL injection, which could allow an attacker to extract sensitive information from the database.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS