CVE-2026-55721
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność SQL injection w Storage Concentrator (SC & SCVM) występuje przez wartości ciasteczek przetwarzane przez skrypty login.pl i debug.pl. Niezabezpieczone dane z ciasteczek są bezpośrednio włączane do zapytań do bazy danych, co pozwala nieuwierzytelnionemu atakującemu na manipulację zapytaniami i wyodrębnienie wrażliwych informacji, takich jak tokeny sesji, hashe haseł i tajne klucze.
Ocena ryzyka
Organizacja narażona jest na kradzież danych uwierzytelniających i tajnych kluczy, co może prowadzić do nieautoryzowanego dostępu do systemów oraz dalszych ataków na infrastrukturę.
Rekomendacja
Należy natychmiast zastosować dostępną łatkę bezpieczeństwa od producenta oraz przeprowadzić audyt skryptów login.pl i debug.pl w celu dodania walidacji i parametryzacji zapytań SQL.
Oryginalny opis (angielski, źródło NVD)
Storage Concentrator (SC & SCVM) is vulnerable to SQL injection through cookie values processed by the login.pl and debug.pl scripts. The cookie value is incorporated directly into database queries without adequate sanitization, allowing an unauthenticated remote attacker to manipulate those queries and extract sensitive information from the underlying database, including session tokens, password hashes, and stored secret keys.

