Katalog CVE

CVE-2026-27634

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Piwigo to aplikacja do zarządzania galerią zdjęć, która przed wersją 16.3.0 miała problem z filtrowaniem dat w funkcji ws_std_image_sql_filter(). Parametry filtrów dat były łączone bezpośrednio w zapytaniach SQL, co mogło prowadzić do ataków SQL injection.

Ocena ryzyka

Atakujący mógł uzyskać dostęp do całej bazy danych, w tym do haszy haseł użytkowników, co stanowi poważne zagrożenie dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację Piwigo do wersji 16.3.0 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak walidacja i eskapowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Piwigo is an open source photo gallery application for the web. Prior to version 16.3.0, the four date filter parameters (f_min_date_available, f_max_date_available, f_min_date_created, f_max_date_created) in ws_std_image_sql_filter() are concatenated directly into SQL without any escaping or type validation. This could result in an unauthenticated attacker reading the full database, including user password hashes. This issue has been patched in version 16.3.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS