CVE-2026-49489
HighCVSS 8.5Summary
OpenCATS w wersjach do 0.9.7.4 zawiera podatność na wstrzykiwanie SQL w parametrze sortDirection komponentu DataGrid, co pozwala uwierzytelnionym użytkownikom na wydobycie zawartości bazy danych. Atakujący mogą wstrzykiwać złośliwe zapytania SQL przez parametr sortDirection w ajax/getDataGridPager.php, co umożliwia przeprowadzanie ataków typu blind injection opartych na czasie.
Risk Assessment
Podatność ta może prowadzić do ujawnienia wrażliwych danych w bazie danych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji. Umożliwia to atakującym dostęp do informacji, które powinny być chronione.
Recommendation
Zaleca się aktualizację OpenCATS do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak filtrowanie danych wejściowych.
Original NVD description (English source)
OpenCATS through 0.9.7.4 contains a sql injection vulnerability in the sortDirection parameter of the DataGrid component that allows authenticated users to extract database contents. Attackers can inject malicious SQL via the sortDirection parameter in ajax/getDataGridPager.php to perform time-based blind injection attacks and read sensitive data.

