CVE-2026-8659
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 50 — wyżej niż 50% wszystkich znanych CVE
Streszczenie
Wtyczka SQLmap dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący z uwierzytelnieniem może wykonać dowolne polecenia poprzez parametry api_host lub api_port podczas konfiguracji połączenia z powodu niewystarczającej walidacji wejścia.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad serwerem przez uwierzytelnionego atakującego, co może prowadzić do kradzieży danych, modyfikacji konfiguracji lub dalszego ataku na infrastrukturę.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę SQLmap do najnowszej wersji dostępnej od producenta oraz zastosować ścisłą walidację parametrów wejściowych w konfiguracji połączeń.
Oryginalny opis (angielski, źródło NVD)
OS Command Injection vulnerability in Rapid7 InsightConnect SQLmap Plugin on Linux allows authenticated attackers to execute arbitrary OS commands via the api_host or api_port parameters during connection configuration due to insufficient input validation.

