Katalog CVE

CVE-2026-41478

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Saltcorn to rozbudowany, otwarty system do budowy aplikacji bazodanowych bez kodu. Przed wersjami 1.4.6, 1.5.6 i 1.6.0-beta.5 występowała podatność na wstrzykiwanie SQL w trasach synchronizacji mobilnej, która pozwalała uwierzytelnionym użytkownikom o niskich uprawnieniach na wstrzykiwanie dowolnego SQL przez parametry synchronizacji.

Ocena ryzyka

Podatność ta może prowadzić do pełnej eksfiltracji bazy danych, w tym haszy haseł administratorów oraz tajemnic konfiguracyjnych, a także umożliwić modyfikację lub zniszczenie bazy danych, w zależności od backendu.

Rekomendacja

Zaleca się aktualizację do wersji 1.4.6, 1.5.6 lub 1.6.0-beta.5, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Saltcorn is an extensible, open source, no-code database application builder. Prior to 1.4.6, 1.5.6, and 1.6.0-beta.5, a SQL injection vulnerability in Saltcorn’s mobile-sync routes allows any authenticated low-privilege user with read access to at least one table to inject arbitrary SQL through sync parameters. This can lead to full database exfiltration, including admin password hashes and configuration secrets, and may also enable database modification or destruction depending on the backend. This vulnerability is fixed in 1.4.6, 1.5.6, and 1.6.0-beta.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS