CVE-2026-46645
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
SQLAdmin to elastyczny interfejs administracyjny dla modeli SQLAlchemy. W wersjach przed 0.25.1 punkt końcowy ajax_lookup w application.py omija kontrolę dostępu is_accessible(), co pozwala uwierzytelnionym użytkownikom na dostęp do danych modeli, mimo że dostęp został ograniczony przez dewelopera.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do danych modeli, co może prowadzić do wycieku informacji lub naruszenia prywatności.
Rekomendacja
Zaleca się aktualizację do wersji 0.25.1 lub nowszej, aby usunąć tę lukę w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
SQLAdmin is a flexible Admin interface for SQLAlchemy models. Prior to version 0.25.1, the ajax_lookup endpoint in application.py bypasses the is_accessible() access control check that all other endpoints enforce. If a developer restricts model access by overriding is_accessible(), an authenticated user can still query that model's data through the ajax_lookup endpoint — silently bypassing the restriction. This issue has been patched in version 0.25.1.

