Katalog CVE

CVE-2026-34400

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Alerta to narzędzie monitorujące. W wersjach przed 9.1.0, API wyszukiwania w ciągu zapytania (q=) było podatne na atak SQL injection poprzez parser zapytań Postgres, który budował klauzule WHERE, interpolując dostarczone przez użytkownika terminy wyszukiwania bezpośrednio do ciągów SQL za pomocą f-stringów. Problem ten został naprawiony w wersji 9.1.0.

Ocena ryzyka

Organizacje korzystające z podatnej wersji Alerta mogą być narażone na ataki SQL injection, co może prowadzić do nieautoryzowanego dostępu do danych lub ich modyfikacji.

Rekomendacja

Zaleca się aktualizację Alerta do wersji 9.1.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Alerta is a monitoring tool. Prior to version 9.1.0, the Query string search API (q=) was vulnerable to SQL injection via the Postgres query parser, which built WHERE clauses by interpolating user-supplied search terms directly into SQL strings via f-strings. This issue has been patched in version 9.1.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS