CVE-2026-4324
ŚrednieCVSS 5.4Streszczenie
Wtyczka Katello dla Red Hat Satellite zawiera lukę, która wynika z niewłaściwego oczyszczania danych wejściowych dostarczanych przez użytkowników. Umożliwia to zdalnemu atakującemu wstrzykiwanie dowolnych poleceń SQL do parametru sort_by w punkcie końcowym API /api/hosts/bootc_images.
Ocena ryzyka
Luka ta może prowadzić do odmowy usługi (DoS) poprzez wywoływanie błędów w bazie danych oraz potencjalnie umożliwić atakującemu wydobycie wrażliwych informacji z bazy danych.
Rekomendacja
Zaleca się aktualizację wtyczki Katello do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby zminimalizować ryzyko związane z wstrzykiwaniem SQL.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the Katello plugin for Red Hat Satellite. This vulnerability, caused by improper sanitization of user-provided input, allows a remote attacker to inject arbitrary SQL commands into the sort_by parameter of the /api/hosts/bootc_images API endpoint. This can lead to a Denial of Service (DoS) by triggering database errors, and potentially enable Boolean-based Blind SQL injection, which could allow an attacker to extract sensitive information from the database.

