CVE-2026-49490
WysokieCVSS 8.1Streszczenie
OpenCATS w wersji od 0.9.1a zawiera podatność na wstrzykiwanie SQL w obsłudze filtrów DataGrid, która pozwala uwierzytelnionym atakującym na wstrzykiwanie SQL poprzez przygotowane filtry skierowane na kolumnę Tags, która nie jest filtrowalna. Atakujący mogą obejść ograniczenia filtrowania kolumn, manipulując żądaniami filtrów w celu wykonania dowolnych zapytań SQL w bazie danych.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do danych w bazie, co stwarza poważne zagrożenie dla integralności i poufności informacji w organizacji. Umożliwia to atakującym wykonywanie dowolnych zapytań SQL, co może skutkować utratą danych lub ich modyfikacją.
Rekomendacja
Zaleca się aktualizację OpenCATS do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczające, takie jak ograniczenie dostępu do bazy danych oraz monitorowanie podejrzanych działań w systemie.
Oryginalny opis (angielski, źródło NVD)
OpenCATS from version 0.9.1a contains an SQL injection vulnerability in DataGrid filter handling that allows authenticated attackers to inject SQL through crafted filters targeting the non-filterable Tags column in the Candidates DataGrid. Attackers can bypass column filterable restrictions by manipulating filter requests to execute arbitrary SQL queries against the database.

