Katalog CVE

CVE-2026-57955

WysokieCVSS 8.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność SQL injection w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym atakującym wykonanie dowolnych zapytań ClickHouse poprzez wstrzyknięcie zakodowanych w URL cudzysłowów do parametru identyfikatora reguły w endpointach historii alertów. Atakujący mogą odczytać wszystkie przechowywane trace'e, logi i metryki lub wykorzystać funkcję url() do fałszowania żądań po stronie serwera (SSRF).

Ocena ryzyka

Ryzyko obejmuje pełny wyciek danych telemetrycznych organizacji (trace'e, logi, metryki) oraz możliwość przeprowadzenia ataków SSRF na wewnętrzne zasoby sieciowe, co może prowadzić do dalszej kompromitacji infrastruktury.

Rekomendacja

Należy natychmiast zaktualizować SigNoz do wersji nowszej niż 0.130.1, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji należy ograniczyć dostęp do endpointów historii alertów tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers to execute arbitrary ClickHouse queries by injecting URL-encoded quotes into the rule ID path parameter of the alert-history endpoints. Attackers can manipulate the unsanitized rule ID interpolated into ClickHouse queries to read all stored traces, logs, and metrics, or abuse the url() function to perform server-side request forgery.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS