CVE-2026-10880
CriticalCVSS 9.8Summary
OSNexus QuantaStor SDS Manager jest podatny na atak typu SQL injection w punkcie logowania. Pole nazwy użytkownika nie jest odpowiednio oczyszczane przed włączeniem do zapytania SQL, co pozwala nieautoryzowanemu zdalnemu atakującemu na ominięcie uwierzytelnienia i zalogowanie się jako administrator bez podawania ważnego hasła.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do systemu z uprawnieniami administratora. Może to prowadzić do utraty danych, nieautoryzowanych zmian w konfiguracji oraz innych działań szkodliwych.
Recommendation
Zaleca się natychmiastowe załatanie podatności poprzez aktualizację do najnowszej wersji OSNexus QuantaStor SDS Manager oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak monitorowanie logów i ograniczenie dostępu do punktu logowania.
Original NVD description (English source)
OSNexus QuantaStor SDS Manager is vulnerable to SQL injection in the login endpoint. The username field is not properly sanitized before being incorporated into a SQL query, allowing an unauthenticated remote attacker to bypass authentication and log in as an administrator without supplying a valid password.

