CVE-2026-58521
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
W rozszerzeniu Cargo dla MediaWiki wykryto podatność na iniekcję SQL spowodowaną niewłaściwym neutralizowaniem specjalnych elementów w poleceniach SQL. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do odczytu, modyfikacji lub usunięcia danych w bazie danych MediaWiki, co może skutkować naruszeniem poufności i integralności danych oraz potencjalnie przejęciem kontroli nad systemem.
Rekomendacja
Należy niezwłocznie zaktualizować rozszerzenie Cargo do wersji 1.43.9, 1.44.6, 1.45.4 lub nowszej, która zawiera poprawkę eliminującą podatność na iniekcję SQL.
Oryginalny opis (angielski, źródło NVD)
Improper neutralization of special elements used in an SQL command ('SQL injection') vulnerability in The Wikimedia Foundation Mediawiki - Cargo Extension allows SQL Injection. This issue affects Mediawiki - Cargo Extension: from * before 1.43.9,1.44.6,1.45.4.

