CVE-2026-40814
WysokieStreszczenie
W pliku dataapi.php w funkcji _mb24confi_getTagAlarm występuje podatność na nieautoryzowaną iniekcję SQL, która wynika z niewłaściwego neutralizowania specjalnych elementów w poleceniu SQL SELECT. Może to prowadzić do całkowitej utraty poufności.
Ocena ryzyka
Atakujący zdalny, nieposiadający autoryzacji, może wykorzystać tę podatność do uzyskania dostępu do wrażliwych danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się natychmiastowe wprowadzenie poprawek do kodu, aby poprawić neutralizację danych wejściowych oraz ograniczyć dostęp do funkcji, które mogą być narażone na ataki.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated remote attacker can exploit an unauthenticated SQL Injection vulnerability in the dataapi.php files _mb24confi_getTagAlarm function due to improper neutralization of special elements in a SQL SELECT command. This can result in a total loss of confidentiality.

