Katalog CVE

CVE-2026-46645

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

SQLAdmin to elastyczny interfejs administracyjny dla modeli SQLAlchemy. W wersjach przed 0.25.1 punkt końcowy ajax_lookup w application.py omija kontrolę dostępu is_accessible(), co pozwala uwierzytelnionym użytkownikom na dostęp do danych modeli, mimo że dostęp został ograniczony przez dewelopera.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do danych modeli, co może prowadzić do wycieku informacji lub naruszenia prywatności.

Rekomendacja

Zaleca się aktualizację do wersji 0.25.1 lub nowszej, aby usunąć tę lukę w zabezpieczeniach.

Oryginalny opis (angielski, źródło NVD)

SQLAdmin is a flexible Admin interface for SQLAlchemy models. Prior to version 0.25.1, the ajax_lookup endpoint in application.py bypasses the is_accessible() access control check that all other endpoints enforce. If a developer restricts model access by overriding is_accessible(), an authenticated user can still query that model's data through the ajax_lookup endpoint — silently bypassing the restriction. This issue has been patched in version 0.25.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS