CVE-2026-42847

Nome do Software Vulnerável e Versões Afetadas ClipBucket versões anteriores a 5.5.3 - #122

Descrição Um problema de SQL Injection (SQLi) existe no endpoint de administrador autenticado "admin area/action logs.php". O endpoint processa o parâmetro type, que é passado para a função fetch action logs() e concatenado diretamente em uma condição SQL WHERE em action type sem parametrização. Isso permite a injeção de SQL baseada em UNION, possibilitando a exfiltração direta de dados do banco de dados.

Recomendações Atualize para a versão 5.5.3 - #122. Como medida paliativa temporária, restrinja o acesso ao endpoint "admin area/action logs.php" ou evite usar o parâmetro type até que a atualização seja aplicada.