CVE-2026-57955
WysokieCVSS 8.5Streszczenie
Podatność SQL injection w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym atakującym wykonanie dowolnych zapytań ClickHouse poprzez wstrzyknięcie zakodowanych w URL cudzysłowów do parametru identyfikatora reguły w endpointach historii alertów. Atakujący mogą odczytać wszystkie przechowywane trace'e, logi i metryki lub wykorzystać funkcję url() do fałszowania żądań po stronie serwera (SSRF).
Ocena ryzyka
Ryzyko obejmuje pełny wyciek danych telemetrycznych organizacji (trace'e, logi, metryki) oraz możliwość przeprowadzenia ataków SSRF na wewnętrzne zasoby sieciowe, co może prowadzić do dalszej kompromitacji infrastruktury.
Rekomendacja
Należy natychmiast zaktualizować SigNoz do wersji nowszej niż 0.130.1, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji należy ograniczyć dostęp do endpointów historii alertów tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers to execute arbitrary ClickHouse queries by injecting URL-encoded quotes into the rule ID path parameter of the alert-history endpoints. Attackers can manipulate the unsanitized rule ID interpolated into ClickHouse queries to read all stored traces, logs, and metrics, or abuse the url() function to perform server-side request forgery.

