CVE-2026-36670
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W module zarządzania aliasami w OpenSIPS Control Panel (opensips-cp) przed wersją 9.3.3 występuje podatność na atak typu Time-Based Blind SQL Injection. Umożliwia ona uwierzytelnionym atakującym wykonywanie dowolnych poleceń SQL za pomocą parametru 'table' w pliku alias_management.php.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych oraz ujawnienia wrażliwych informacji. Atakujący mogą wykorzystać tę lukę do manipulacji danymi w systemie.
Rekomendacja
Zaleca się aktualizację OpenSIPS Control Panel do wersji 9.3.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji w celu zidentyfikowania innych potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
A Time-Based Blind SQL Injection vulnerability in the alias_management module of OpenSIPS Control Panel (opensips-cp) prior to version 9.3.3 allows authenticated attackers to execute arbitrary SQL commands via the 'table' GET parameter in alias_management.php.

