Katalog CVE

CVE-2026-25544

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.73.0, podczas zapytań do pól JSON lub richText, dane wejściowe użytkownika były bezpośrednio osadzane w SQL bez odpowiedniego zabezpieczenia, co umożliwiało ataki typu blind SQL injection.

Ocena ryzyka

Nieautoryzowany atakujący mógłby wyciągnąć wrażliwe dane (takie jak e-maile, tokeny resetowania haseł) i przejąć pełną kontrolę nad kontem bez łamania hasła, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 3.73.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Payload is a free and open source headless content management system. Prior to 3.73.0, when querying JSON or richText fields, user input was directly embedded into SQL without escaping, enabling blind SQL injection attacks. An unauthenticated attacker could extract sensitive data (emails, password reset tokens) and achieve full account takeover without password cracking. This vulnerability is fixed in 3.73.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS