PT-2026-22426 · Opendcim · Opendcim
Valentin Lobstein
·
Publicado
2026-02-27
·
Atualizado
2026-03-10
·
CVE-2026-28516
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do openDCIM até a 23.04 commit 4467e9c4
Descrição
O software contém uma vulnerabilidade de injeção de SQL na função
Config::UpdateParameter. Os manipuladores install.php e container-install.php incorporam diretamente entradas fornecidas pelo usuário em instruções SQL usando interpolação de strings, sem o uso de prepared statements ou sanitização adequada de entrada. Um usuário autenticado pode executar instruções SQL arbitrárias contra o banco de dados. Os parâmetros vulneráveis são passados para as instruções SQL sem a devida validação.Recomendações
Versões anteriores à 23.04 commit 4467e9c4 devem ser atualizadas.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opendcim