Katalog CVE

CVE-2026-10731

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

W podatności CVE-2026-10731 występuje luka typu SQL injection w parametrze 'two_steps_auth_code' przetwarzanym przez funkcję 'twoStepsAuthVerification' w punkcie końcowym '/user-login'. Funkcjonalność uwierzytelniania dwuetapowego (2FA) może być uzyskana bez wcześniejszej autoryzacji, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL w bazie danych.

Ocena ryzyka

Z powodzeniem przeprowadzony atak może prowadzić do enumeracji bazy danych, nieautoryzowanego tworzenia uprzywilejowanych użytkowników, modyfikacji lub usunięcia krytycznych informacji oraz warunków odmowy usługi.

Rekomendacja

Zaleca się wprowadzenie dodatkowych zabezpieczeń w procesie uwierzytelniania oraz walidację danych wejściowych w celu zapobiegania atakom SQL injection. Należy również monitorować logi systemowe w poszukiwaniu podejrzanych działań.

Oryginalny opis (angielski, źródło NVD)

SQL injection in the ‘two_steps_auth_code’ parameter processed by the ‘twoStepsAuthVerification’ function within the ‘/user-login’ endpoint. The two-factor authentication (2FA) functionality can be accessed without prior authentication, allowing unauthenticated attackers to execute arbitrary SQL queries on the backend database. A successful exploit could lead to database enumeration, the unauthorised creation of privileged users, the modification or deletion of critical information, and denial-of-service conditions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS