PT-2026-36881 · Unknown · Openc3 Cosmos

Suffs811

·

Publicado

2026-04-23

·

Atualizado

2026-06-03

·

CVE-2026-42087

CVSS v3.1

9.6

Crítica

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas OpenC3 COSMOS versões 6.7.0 até 7.0.0-rc3
Descrição O componente Time-Series Database (TSDB) contém uma falha de injeção de SQL. A função tsdb lookup() no arquivo cvt model.rb insere entradas fornecidas pelo usuário diretamente em uma consulta SQL sem a devida sanitização. Isso permite que um usuário escape da instrução SQL original e execute comandos SQL arbitrários, o que pode levar à exclusão de dados.
Recomendações Atualizar para a versão 7.0.0-rc3.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2026-42087
GHSA-V529-VHWC-WFC5

Produtos afetados

Openc3 Cosmos