CVE-2026-49490
HighCVSS 8.1Summary
OpenCATS w wersji od 0.9.1a zawiera podatność na wstrzykiwanie SQL w obsłudze filtrów DataGrid, która pozwala uwierzytelnionym atakującym na wstrzykiwanie SQL poprzez przygotowane filtry skierowane na kolumnę Tags, która nie jest filtrowalna. Atakujący mogą obejść ograniczenia filtrowania kolumn, manipulując żądaniami filtrów w celu wykonania dowolnych zapytań SQL w bazie danych.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do danych w bazie, co stwarza poważne zagrożenie dla integralności i poufności informacji w organizacji. Umożliwia to atakującym wykonywanie dowolnych zapytań SQL, co może skutkować utratą danych lub ich modyfikacją.
Recommendation
Zaleca się aktualizację OpenCATS do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczające, takie jak ograniczenie dostępu do bazy danych oraz monitorowanie podejrzanych działań w systemie.
Original NVD description (English source)
OpenCATS from version 0.9.1a contains an SQL injection vulnerability in DataGrid filter handling that allows authenticated attackers to inject SQL through crafted filters targeting the non-filterable Tags column in the Candidates DataGrid. Attackers can bypass column filterable restrictions by manipulating filter requests to execute arbitrary SQL queries against the database.

