PT-2026-35085 · Saltcorn · Saltcorn
Qiaonpc
·
Publicado
2026-04-16
·
Atualizado
2026-04-24
·
CVE-2026-41478
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Saltcorn versões anteriores a 1.4.6
Saltcorn versões anteriores a 1.5.6
Saltcorn versões anteriores a 1.6.0-beta.5
Description
Saltcorn é um construtor de aplicações de base de dados sem código, extensível e de código aberto. Uma injeção de SQL nas rotas de sincronização móvel permite que qualquer utilizador autenticado de baixos privilégios com acesso de leitura a pelo menos uma tabela injete SQL arbitrário através de parâmetros de sincronização. Isto pode resultar na exfiltração completa da base de dados, incluindo hashes de palavras-passe de administrador e segredos de configuração, e pode permitir a modificação ou destruição da base de dados, dependendo do backend.
Recommendations
Atualizar para a versão 1.4.6
Atualizar para a versão 1.5.6
Atualizar para a versão 1.6.0-beta.5
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Saltcorn