CVE-2026-4324
MediumCVSS 5.4Summary
Wtyczka Katello dla Red Hat Satellite zawiera lukę, która wynika z niewłaściwego oczyszczania danych wejściowych dostarczanych przez użytkowników. Umożliwia to zdalnemu atakującemu wstrzykiwanie dowolnych poleceń SQL do parametru sort_by w punkcie końcowym API /api/hosts/bootc_images.
Risk Assessment
Luka ta może prowadzić do odmowy usługi (DoS) poprzez wywoływanie błędów w bazie danych oraz potencjalnie umożliwić atakującemu wydobycie wrażliwych informacji z bazy danych.
Recommendation
Zaleca się aktualizację wtyczki Katello do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby zminimalizować ryzyko związane z wstrzykiwaniem SQL.
Original NVD description (English source)
A flaw was found in the Katello plugin for Red Hat Satellite. This vulnerability, caused by improper sanitization of user-provided input, allows a remote attacker to inject arbitrary SQL commands into the sort_by parameter of the /api/hosts/bootc_images API endpoint. This can lead to a Denial of Service (DoS) by triggering database errors, and potentially enable Boolean-based Blind SQL injection, which could allow an attacker to extract sensitive information from the database.

