Katalog CVE

CVE-2026-25241

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W frameworku PEAR przed wersją 1.33.0 występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym /get/<package>/<version>, co pozwala zdalnym atakującym na wykonanie dowolnych zapytań SQL poprzez odpowiednio skonstruowaną wersję pakietu. Problem został naprawiony w wersji 1.33.0.

Ocena ryzyka

Organizacje korzystające z podatnej wersji PEAR mogą być narażone na ataki, które umożliwiają zdalne wykonanie nieautoryzowanych zapytań do bazy danych, co może prowadzić do utraty danych lub kompromitacji systemu.

Rekomendacja

Zaleca się aktualizację frameworka PEAR do wersji 1.33.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

PEAR is a framework and distribution system for reusable PHP components. Prior to version 1.33.0, an unauthenticated SQL injection in the /get/<package>/<version> endpoint allows remote attackers to execute arbitrary SQL via a crafted package version. This issue has been patched in version 1.33.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS