CVE-2026-10731
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
W podatności CVE-2026-10731 występuje luka typu SQL injection w parametrze 'two_steps_auth_code' przetwarzanym przez funkcję 'twoStepsAuthVerification' w punkcie końcowym '/user-login'. Funkcjonalność uwierzytelniania dwuetapowego (2FA) może być uzyskana bez wcześniejszej autoryzacji, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL w bazie danych.
Ocena ryzyka
Z powodzeniem przeprowadzony atak może prowadzić do enumeracji bazy danych, nieautoryzowanego tworzenia uprzywilejowanych użytkowników, modyfikacji lub usunięcia krytycznych informacji oraz warunków odmowy usługi.
Rekomendacja
Zaleca się wprowadzenie dodatkowych zabezpieczeń w procesie uwierzytelniania oraz walidację danych wejściowych w celu zapobiegania atakom SQL injection. Należy również monitorować logi systemowe w poszukiwaniu podejrzanych działań.
Oryginalny opis (angielski, źródło NVD)
SQL injection in the ‘two_steps_auth_code’ parameter processed by the ‘twoStepsAuthVerification’ function within the ‘/user-login’ endpoint. The two-factor authentication (2FA) functionality can be accessed without prior authentication, allowing unauthenticated attackers to execute arbitrary SQL queries on the backend database. A successful exploit could lead to database enumeration, the unauthorised creation of privileged users, the modification or deletion of critical information, and denial-of-service conditions.

