CVE-2026-51946
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Podatność SQL Injection w GoAdminGroup GoAdmin (ostatnie wydanie v1.2.26) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu i uzyskanie wrażliwych informacji poprzez parametr URL __sort_type na wszystkich endpointach /admin/info/{table}.
Ocena ryzyka
Atakujący może wykraść dane z bazy danych, w tym dane uwierzytelniające i poufne informacje, oraz potencjalnie przejąć kontrolę nad serwerem.
Rekomendacja
Należy natychmiast zaktualizować GoAdmin do najnowszej wersji, która usuwa tę podatność, lub zastosować tymczasowe zabezpieczenia, takie jak walidacja i sanityzacja parametru __sort_type.
Oryginalny opis (angielski, źródło NVD)
SQL Injection vulnerability in GoAdminGroup GoAdmin (last release v1.2.26) allows a remote attacker to execute arbitrary code and obtain sensitive information via the the __sort_type URL parameter on all /admin/info/{table} endpoints

