Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-41462 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-27 |
| Producent | ProjeQtor |
| Produkt | ProjeQtor |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
ProjeQtor w wersjach od 7.0 do 12.4.3 zawiera nieuwierzytelnioną podatność SQL injection w funkcjonalności logowania, w której zmienna
loginjest bezpośrednio konkatenowana do zapytania SQL bez parametryzacji ani sanityzacji danych wejściowych. Atakujący mogą wstrzyknąć dowolne wyrażenia SQL przez pole nazwy użytkownika na endpoincie uwierzytelniania, aby utworzyć konta z uprawnieniami administracyjnymi, odczytać dane wrażliwe oraz, jeśli użytkownik bazy danych ma podwyższone uprawnienia, wykonać polecenia systemu operacyjnego.
Wymagane działania
Niezwłocznie zaktualizuj ProjeQtor do wersji nowszej niż 12.4.3 zawierającej poprawkę. Do czasu wdrożenia patcha ogranicz dostęp do interfejsu logowania ProjeQtor wyłącznie z zaufanej sieci wewnętrznej (VPN, allowlista IP) oraz włącz WAF z regułami chroniącymi przed SQL injection. Przejrzyj logi serwera bazy danych pod kątem nietypowych zapytań i sprawdź, czy nie powstały nieautoryzowane konta z podwyższonymi uprawnieniami.
Kogo dotyczy?
Podatność dotyczy produktu ProjeQtor dostarczanego przez ProjeQtor. Sprawdź czy Twoja organizacja korzysta z ProjeQtor w wersji 7.0-12.4.3 i niezwłocznie zaktualizuj instalację oraz przeprowadź audyt utworzonych kont użytkowników.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
