Katalog CVE

CVE-2026-4324

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Katello dla Red Hat Satellite zawiera lukę, która wynika z niewłaściwego oczyszczania danych wejściowych dostarczanych przez użytkowników. Umożliwia to zdalnemu atakującemu wstrzykiwanie dowolnych poleceń SQL do parametru sort_by w punkcie końcowym API /api/hosts/bootc_images.

Ocena ryzyka

Luka ta może prowadzić do odmowy usługi (DoS) poprzez wywoływanie błędów w bazie danych oraz potencjalnie umożliwić atakującemu wydobycie wrażliwych informacji z bazy danych.

Rekomendacja

Zaleca się aktualizację wtyczki Katello do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby zminimalizować ryzyko związane z wstrzykiwaniem SQL.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the Katello plugin for Red Hat Satellite. This vulnerability, caused by improper sanitization of user-provided input, allows a remote attacker to inject arbitrary SQL commands into the sort_by parameter of the /api/hosts/bootc_images API endpoint. This can lead to a Denial of Service (DoS) by triggering database errors, and potentially enable Boolean-based Blind SQL injection, which could allow an attacker to extract sensitive information from the database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS