CVE-2026-10880

Nome do Software Vulnerável e Versões Afetadas OSNexus QuantaStor versões anteriores a 6.6.2

Descrição Um invasor remoto não autenticado pode realizar uma injeção de SQL cega (blind SQL injection) através do endpoint de login. O campo username não é devidamente sanitizado antes de ser incorporado em uma consulta SQL, o que permite que o invasor ignore a autenticação e faça login como administrador sem fornecer uma senha válida. Além disso, invasores podem recuperar hashes de senhas armazenadas, um caractere por vez, analisando diferentes respostas de erro de login.

Recomendações Atualize para a versão 6.6.2 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint de login a endereços IP confiáveis para minimizar o risco de exploração.