Katalog CVE

CVE-2026-49344

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Mercator to aplikacja webowa, która przed wersją 2025.05.19 miała lukę w silniku zapytań, umożliwiającą autoryzowanym użytkownikom, w tym rolom z ograniczonym dostępem, wykonywanie zapytań do modeli poza ich zakresem. Dodatkowo, kolumna `password`, mimo że oznaczona jako `$hidden`, mogła być używana w warunkach `LIKE` w filtrach.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych użytkowników, co stwarza ryzyko naruszenia prywatności i bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2025.05.19, aby załatać tę lukę oraz wprowadzenie dodatkowych zabezpieczeń w kontrolerze, aby ograniczyć dostęp do wrażliwych danych.

Oryginalny opis (angielski, źródło NVD)

Mercator is an open source web application that enables mapping of the information system. Prior to version 2025.05.19, Mercator's Query Engine (`/admin/queries/execute`) accepts a JSON DSL (`from` / `select` / `filters` / `traverse` / `output`), translates it into an Eloquent query, and returns results as JSON. The controller method `QueryController::execute()` does not enforce an authorization gate, unlike `store()` and `massDestroy()` in the same controller which are correctly protected. As a result, any authenticated account — including the read-only Auditor role — can query models beyond its intended scope, including the `User` model. Additionally, the `password` column, although declared `$hidden`, is not excluded from filter predicates, which allows it to be used in `LIKE` conditions. The `schema()` and `schemaModel()` endpoints of the same controller are similarly unguarded. The Query Engine is read-only; integrity and availability are not affected. Version 2025.05.19 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS