CVE-2026-41143

Nome do Software Vulnerável e Versões Afetadas YesWiki versões anteriores a 4.6.1

Descrição O módulo bazar contém uma falha de injeção de SQL no arquivo tools/bazar/services/EntryManager.php. O problema ocorre porque o valor id fiche, originado da variável $ POST['id fiche'], é concatenado diretamente em uma consulta SQL bruta sem sanitização ou parametrização. Isso permite que um usuário autenticado execute comandos SQL arbitrários através do endpoint '/api/entries/{formId}' ao manipular o parâmetro id fiche. A vulnerabilidade é acionada dentro da função create(), que chama a formatDataBeforeSave(), eventualmente passando a entrada não sanitizada para a função loadSingle().

Recomendações Atualize para a versão 4.6.1. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/entries/{formId}' ou evite usar o parâmetro id fiche até que a atualização seja aplicada.