Plattform
php
Komponente
devcode-it/openstamanager
Behoben in
2.10.3
2.10.2
CVE-2026-35168 describes a SQL Injection vulnerability in the Aggiornamenti (Updates) module of OpenSTAManager. The database conflict resolution feature executes arbitrary SQL statements without validation. Affected versions are prior to 2.10.2. The vulnerability is fixed in version 2.10.2.
CVE-2026-35168 in OpenSTAManager (versions <= 2.10.1) ermöglicht einem authentifizierten Angreifer, beliebigen SQL-Code auf der Datenbank auszuführen. Das Modul 'Aggiornamenti' (Updates) enthält eine Funktion zur Konfliktlösung in der Datenbank (op=risolvi-conflitti-database), die ein JSON-Array von SQL-Anweisungen über eine POST-Anfrage akzeptiert. Diese Funktion führt diese Anweisungen direkt gegen die Datenbank aus, ohne jegliche Validierung, Whitelist oder Bereinigung. Dies bedeutet, dass ein Angreifer potenziell sensible Daten aus der Datenbank ändern, löschen oder extrahieren und so die Integrität und Vertraulichkeit des OpenSTAManager-Systems gefährden kann. Die CVSS-Schwere ist 8,8 (Hoch), was ein erhebliches Risiko anzeigt.
Ein Angreifer mit gültigen Anmeldeinformationen für den Zugriff auf das Modul 'Aggiornamenti' kann diese Schwachstelle ausnutzen. Der Angreifer würde eine POST-Anfrage mit einem JSON-Array senden, das bösartige SQL-Anweisungen enthält. Das Fehlen einer Validierung ermöglicht es dem Angreifer, beliebigen SQL-Code einzuschleusen, der im Kontext der Datenbank ausgeführt wird. Die Komplexität der Ausnutzung ist gering, da keine besonderen Fähigkeiten erforderlich sind, abgesehen von SQL-Kenntnissen und der Fähigkeit, HTTP-Anfragen zu senden. Die Notwendigkeit einer Authentifizierung schränkt die Ausnutzung auf Benutzer mit Systemzugriff ein, aber die Schwere der Schwachstelle erfordert sofortige Aufmerksamkeit.
Exploit-Status
EPSS
0.08% (24% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung besteht darin, OpenSTAManager auf Version 2.10.2 oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Validierung der SQL-Anweisungen implementiert, die über den Parameter op=risolvi-conflitti-database empfangen werden. In der Zwischenzeit, als vorübergehende Maßnahme, beschränken Sie den Zugriff auf das Modul 'Aggiornamenti' nur auf autorisierte Benutzer und überwachen Sie das System auf Exploitationsversuche. Überprüfen und verstärken Sie außerdem die Authentifizierungs- und Autorisierungspolicen, um die potenziellen Auswirkungen eines erfolgreichen Angriffs zu begrenzen. Das Update ist die beste Verteidigung gegen diese Schwachstelle.
Actualice OpenSTAManager a la versión 2.10.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de inyección SQL en el módulo Aggiornamenti. La actualización evitará que atacantes ejecuten comandos SQL arbitrarios en su base de datos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OpenSTAManager ist ein Open-Source-Software-Lizenzmanagement-Tool.
Das Update behebt eine kritische Schwachstelle, die die Ausführung von beliebigem SQL-Code ermöglicht, was die Sicherheit Ihres Systems gefährden könnte.
Beschränken Sie den Zugriff auf das Modul 'Aggiornamenti' und überwachen Sie das System auf Aktivitäten.
Überprüfen und verstärken Sie Ihre Authentifizierungs- und Autorisierungspolicen.
Wenn Sie eine Version vor 2.10.2 verwenden, sind Sie anfällig. Weitere Informationen finden Sie in der OpenSTAManager-Dokumentation.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.