CVE-2026-12076
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Raytha CMS zawiera podatność na wstrzykiwanie SQL w mechanizmie parsowania filtrów OData. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych zapytań SQL na bazie PostgreSQL, co prowadzi do pełnego przejęcia bazy danych, w tym wyodrębnienia danych uwierzytelniających.
Ocena ryzyka
Ryzyko dla organizacji obejmuje całkowitą utratę poufności i integralności danych przechowywanych w bazie PostgreSQL, w tym haseł użytkowników i innych wrażliwych informacji, co może skutkować naruszeniem przepisów o ochronie danych i poważnymi stratami reputacyjnymi.
Rekomendacja
Należy natychmiast zaktualizować Raytha CMS do najnowszej dostępnej wersji, jeśli jest dostępna, lub tymczasowo wyłączyć funkcjonalność OData, a także zastosować reguły WAF blokujące podejrzane zapytania OData.
Oryginalny opis (angielski, źródło NVD)
Raytha CMS is vulnerable to SQL Injection within the OData filter parsing pipeline. The vulnerability allows a remote, unauthenticated attacker to execute arbitrary SQL statements against the underlying PostgreSQL database, leading to full database compromise, including credential extraction. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 1.5.2 but may also affect other versions.

