CVE-2026-41462
KrytyczneStreszczenie
Wersje ProjeQtor od 7.0 do 12.4.3 zawierają podatność na nieautoryzowaną iniekcję SQL w funkcji logowania, gdzie zmienna logowania jest bezpośrednio łączona z zapytaniem SQL bez parametryzacji lub sanitizacji. Atakujący mogą wstrzykiwać dowolne wyrażenia SQL przez pole nazwy użytkownika w punkcie uwierzytelniania.
Ocena ryzyka
Podatność ta pozwala atakującym na tworzenie uprzywilejowanych kont, odczytywanie wrażliwych danych oraz wykonywanie poleceń systemu operacyjnego, jeśli użytkownik bazy danych ma podwyższone uprawnienia. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację ProjeQtor do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak parametryzacja zapytań SQL i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
ProjeQtor versions 7.0 through 12.4.3 contain an unauthenticated SQL injection vulnerability in the login functionality where the login variable is directly concatenated into a SQL query without parameterization or sanitization. Attackers can inject arbitrary SQL expressions through the username field at the authentication endpoint to create privileged accounts, read sensitive data, and execute operating system commands if the database user has elevated permissions.

