Katalog CVE

CVE-2026-41460

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje SocialEngine 7.8.0 i wcześniejsze zawierają podatność na wstrzykiwanie SQL w punkcie końcowym /activity/index/get-memberall, gdzie dane wejściowe dostarczone przez użytkownika przez parametr text nie są odpowiednio filtrowane przed użyciem w zapytaniu SQL. Atakujący zdalny, nieautoryzowany może wykorzystać tę podatność do odczytu dowolnych danych z bazy danych oraz resetowania haseł kont administratorów.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do danych wrażliwych oraz umożliwić atakującemu przejęcie kontroli nad panelem administracyjnym, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji SocialEngine, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak filtrowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

SocialEngine versions 7.8.0 and prior contain a SQL injection vulnerability in the /activity/index/get-memberall endpoint where user-supplied input passed via the text parameter is not sanitized before being incorporated into a SQL query. An unauthenticated remote attacker can exploit this vulnerability to read arbitrary data from the database, reset administrator account passwords, and gain unauthorized access to the Packages Manager in the Admin Panel, potentially enabling remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS