Katalog CVE

CVE-2026-36670

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W module zarządzania aliasami w OpenSIPS Control Panel (opensips-cp) przed wersją 9.3.3 występuje podatność na atak typu Time-Based Blind SQL Injection. Umożliwia ona uwierzytelnionym atakującym wykonywanie dowolnych poleceń SQL za pomocą parametru 'table' w pliku alias_management.php.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych oraz ujawnienia wrażliwych informacji. Atakujący mogą wykorzystać tę lukę do manipulacji danymi w systemie.

Rekomendacja

Zaleca się aktualizację OpenSIPS Control Panel do wersji 9.3.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji w celu zidentyfikowania innych potencjalnych luk.

Oryginalny opis (angielski, źródło NVD)

A Time-Based Blind SQL Injection vulnerability in the alias_management module of OpenSIPS Control Panel (opensips-cp) prior to version 9.3.3 allows authenticated attackers to execute arbitrary SQL commands via the 'table' GET parameter in alias_management.php.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS