CVE-2026-50890
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
W wersji 4.6.0 aplikacji grocy odkryto podatność typu SQL injection w parametrze product-group w ścieżce /stockreports/spendings. Umożliwia to atakującym dostęp do wrażliwych informacji z bazy danych za pomocą spreparowanego zapytania SQL.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia poufnych danych z bazy, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację aplikacji grocy do najnowszej wersji oraz wprowadzenie filtracji i walidacji danych wejściowych w celu zminimalizowania ryzyka SQL injection.
Oryginalny opis (angielski, źródło NVD)
Bernd Bestel grocy v4.6.0 was discovered to contain a SQL injection vulnerability in the product-group parameter at /stockreports/spendings. This vulnerability allows attackers to access sensitive database information via a crafted SQL statement.

