CVE-2026-8054
KrytyczneStreszczenie
W dotCMS Core w wersjach od 25.11.04-1 do 26.04.28-02 występuje podatność na SQL Injection w punktach końcowych API Publish Audit, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt, modyfikację lub zniszczenie dowolnej zawartości bazy danych.
Ocena ryzyka
Brak autoryzacji w punktach końcowych stwarza poważne ryzyko dla integralności danych w organizacji, umożliwiając atakującym manipulację danymi w bazie.
Rekomendacja
Zaleca się aktualizację do dotCMS Core w wersji 26.04.28-03 lub nowszej, aby wymusić autoryzację użytkowników z odpowiednimi uprawnieniami.
Oryginalny opis (angielski, źródło NVD)
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') in the Publish Audit API endpoints (/api/auditPublishing/get and /api/auditPublishing/getAll) in dotCMS Core 25.11.04-1 through 26.04.28-02 allows remote unauthenticated attackers to read, modify, or destroy arbitrary database content. The endpoints did not enforce authentication and accepted unsanitized input used in dynamically constructed SQL. The fix in dotCMS Core 26.04.28-03 requires an authenticated backend user with the publishing-queue portlet permission. LTS releases are not affected as the vulnerable code path was never backported.

