CVE-2026-44886
HighCVSS 8.7Exploitation Probability (EPSS)
Low risk16th percentile - higher than 16% of all known CVEs
Summary
Pi.Alert to detektor intruzów WIFI / LAN z monitoringiem usług webowych. W okresie od 29 czerwca 2024 do przed 7 maja 2026, punkt końcowy aplikacji webowej jest podatny na atak typu SQL injection, gdy parametr URL akcji jest ustawiony na getDevicesTotals.
Risk Assessment
Podatność ta umożliwia nieautoryzowanym użytkownikom wstrzykiwanie złośliwego kodu SQL, co może prowadzić do ujawnienia danych lub manipulacji bazą danych. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do danych.
Recommendation
Zaleca się aktualizację aplikacji do wersji, która naprawia tę podatność, przed 7 maja 2026. Dodatkowo, warto wprowadzić mechanizmy uwierzytelniania dla wszystkich punktów końcowych aplikacji.
Original NVD description (English source)
Pi.Alert is a WIFI / LAN intruder detector with web service monitoring. From 2024-06-29 to before 2026-05-07, the web application endpoint is vulnerable to SQL injection. The /pialert/php/server/devices.php route accepts requests from unauthenticated users when the action URL parameter is set to getDevicesTotals. The scansource URL parameter is then injected in a SQL query. This vulnerability is fixed in 2026-05-07.

