Katalog CVE

CVE-2026-50890

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

W wersji 4.6.0 aplikacji grocy odkryto podatność typu SQL injection w parametrze product-group w ścieżce /stockreports/spendings. Umożliwia to atakującym dostęp do wrażliwych informacji z bazy danych za pomocą spreparowanego zapytania SQL.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia poufnych danych z bazy, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację aplikacji grocy do najnowszej wersji oraz wprowadzenie filtracji i walidacji danych wejściowych w celu zminimalizowania ryzyka SQL injection.

Oryginalny opis (angielski, źródło NVD)

Bernd Bestel grocy v4.6.0 was discovered to contain a SQL injection vulnerability in the product-group parameter at /stockreports/spendings. This vulnerability allows attackers to access sensitive database information via a crafted SQL statement.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS