Katalog CVE

CVE-2026-40523

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

FrontAccounting przed wersją 2.4.20 zawiera podatność na wstrzykiwanie SQL w module raportu audytu. Uwierzytelnieni atakujący z uprawnieniami SA_GLANALYTIC mogą wstrzykiwać złośliwy kod do parametrów POST PARAM_2 i PARAM_3, wykonując dowolne zapytania SQL.

Ocena ryzyka

Atakujący może wykorzystać ślepą iniekcję SQL opartą na czasie (SLEEP) do przeciążenia połączeń bazodanowych, powodując odmowę usługi, lub technikę UNION do kradzieży danych z bazy.

Rekomendacja

Należy natychmiast zaktualizować FrontAccounting do wersji 2.4.20 lub nowszej. Ograniczyć uprawnienia SA_GLANALYTIC tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

FrontAccounting before 2.4.20 contains a SQL injection vulnerability in the Audit Trail report handler that allows authenticated attackers with SA_GLANALYTIC permission to execute arbitrary SQL queries by injecting malicious code into the PARAM_2 and PARAM_3 POST parameters. Attackers can exploit time-based blind SQL injection through SLEEP() functions that are amplified across JOIN result sets to cause denial of service by exhausting database connections, or extract arbitrary database content through UNION-based injection techniques.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS