Katalog CVE

CVE-2026-49490

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

OpenCATS w wersji od 0.9.1a zawiera podatność na wstrzykiwanie SQL w obsłudze filtrów DataGrid, która pozwala uwierzytelnionym atakującym na wstrzykiwanie SQL poprzez przygotowane filtry skierowane na kolumnę Tags, która nie jest filtrowalna. Atakujący mogą obejść ograniczenia filtrowania kolumn, manipulując żądaniami filtrów w celu wykonania dowolnych zapytań SQL w bazie danych.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do danych w bazie, co stwarza poważne zagrożenie dla integralności i poufności informacji w organizacji. Umożliwia to atakującym wykonywanie dowolnych zapytań SQL, co może skutkować utratą danych lub ich modyfikacją.

Rekomendacja

Zaleca się aktualizację OpenCATS do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczające, takie jak ograniczenie dostępu do bazy danych oraz monitorowanie podejrzanych działań w systemie.

Oryginalny opis (angielski, źródło NVD)

OpenCATS from version 0.9.1a contains an SQL injection vulnerability in DataGrid filter handling that allows authenticated attackers to inject SQL through crafted filters targeting the non-filterable Tags column in the Candidates DataGrid. Attackers can bypass column filterable restrictions by manipulating filter requests to execute arbitrary SQL queries against the database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS