CVE-2026-41460
KrytyczneStreszczenie
Wersje SocialEngine 7.8.0 i wcześniejsze zawierają podatność na wstrzykiwanie SQL w punkcie końcowym /activity/index/get-memberall, gdzie dane wejściowe dostarczone przez użytkownika przez parametr text nie są odpowiednio filtrowane przed użyciem w zapytaniu SQL. Atakujący zdalny, nieautoryzowany może wykorzystać tę podatność do odczytu dowolnych danych z bazy danych oraz resetowania haseł kont administratorów.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do danych wrażliwych oraz umożliwić atakującemu przejęcie kontroli nad panelem administracyjnym, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji SocialEngine, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
SocialEngine versions 7.8.0 and prior contain a SQL injection vulnerability in the /activity/index/get-memberall endpoint where user-supplied input passed via the text parameter is not sanitized before being incorporated into a SQL query. An unauthenticated remote attacker can exploit this vulnerability to read arbitrary data from the database, reset administrator account passwords, and gain unauthorized access to the Packages Manager in the Admin Panel, potentially enabling remote code execution.

