Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-41460 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-23 |
| Producent | SocialEngine |
| Produkt | SocialEngine |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.2% (percentyl: 38%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
SocialEngine w wersjach 7.8.0 i wcześniejszych zawiera podatność typu SQL injection w endpoincie
/activity/index/get-memberall. Dane wejściowe przekazywane przez parametrtextnie są sanityzowane przed użyciem w zapytaniu SQL. Nieautoryzowany, zdalny atakujący może wykorzystać tę podatność do odczytu dowolnych danych z bazy, zresetowania haseł kont administracyjnych oraz uzyskania nieautoryzowanego dostępu do Packages Manager w panelu administracyjnym, co potencjalnie umożliwia zdalne wykonanie kodu (RCE).
Wymagane działania
Należy jak najszybciej zastosować poprawki producenta. Do czasu wdrożenia aktualizacji zablokuj dostęp do endpointu /activity/index/get-memberall na poziomie WAF lub ogranicz ruch do platformy do zaufanych adresów IP. Zweryfikuj logi pod kątem nietypowych zapytań z parametrem text zawierającym znaki SQL.
Kogo dotyczy?
Podatność dotyczy produktu SocialEngine firmy SocialEngine. Wszystkie instalacje platformy społecznościowej SocialEngine w wersji 7.8.0 lub starszej są narażone. Sprawdź wersję swojego wdrożenia i zaplanuj aktualizację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
