Plateforme
go
Composant
github.com/mattermost/focalboard
Corrigé dans
8.0.1
7.10.7
Une vulnérabilité d'injection SQL de second ordre (aveugle, basée sur le temps) a été découverte dans Focalboard, affectant les versions jusqu'à 7.10.6. Cette faille permet à un attaquant authentifié d'injecter une charge utile SQL malveillante dans les identifiants de catégorie, qui sont ensuite exécutés non filtrés lors du traitement de l'API de réorganisation des catégories. En conséquence, des données sensibles, telles que les hachages de mots de passe d'autres utilisateurs, peuvent être compromises.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'exfiltrer des données sensibles de la base de données Focalboard. L'attaquant peut injecter une charge utile SQL dans le champ identifiant de catégorie, qui est stocké dans la base de données et ensuite exécuté sans validation lors de la réorganisation des catégories. Cette injection SQL de second ordre, étant aveugle et basée sur le temps, rend l'extraction des données plus complexe mais reste réalisable. Les données compromises peuvent inclure des hachages de mots de passe, des informations sur les utilisateurs et potentiellement d'autres données sensibles stockées dans la base de données. Bien que Focalboard soit un outil de gestion de projet, la compromission de ses données d'authentification pourrait avoir des implications significatives pour la sécurité des informations qu'il gère.
Cette vulnérabilité a été rendue publique le 3 avril 2026. Elle est classée comme une injection SQL de second ordre, ce qui signifie que l'attaquant doit d'abord s'authentifier pour exploiter la faille. Bien qu'aucune preuve d'exploitation active n'ait été rapportée à ce jour, la nature de la vulnérabilité et la disponibilité de techniques d'injection SQL rendent son exploitation potentiellement probable. Il n'y a pas d'entrée dans le KEV à ce jour.
Organizations using Focalboard for project management, particularly those relying on it for sensitive data storage, are at risk. The lack of support means that these organizations are exposed to a known vulnerability with no official remediation path. Shared hosting environments where multiple users have access to the Focalboard instance are particularly vulnerable, as an attacker could potentially compromise other users' accounts.
• linux / server: Monitor database logs (e.g., MySQL slow query log) for unusual SQL queries involving category IDs. Use journalctl to filter for errors related to SQL execution.
journalctl -u mysqld -g 'category id' --since '1h'• generic web: Use curl to test the category reordering API with various inputs, looking for unusual response times or errors.
curl -X POST -d 'category_id=1; SELECT sleep(5);' <reordering_api_endpoint>• database (mysql): Check for suspicious stored procedures or functions that might be used to exploit the vulnerability.
SHOW PROCEDURE STATUS WHERE db = 'focalboard' AND Name LIKE '%category%';disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Étant donné que Focalboard n'est plus maintenu et qu'aucune correction n'est prévue, la mitigation de cette vulnérabilité est difficile. Une approche temporaire consiste à désactiver l'API de réorganisation des catégories si elle n'est pas essentielle. Il est également recommandé de limiter les privilèges des utilisateurs pour réduire l'impact potentiel d'une attaque réussie. La surveillance des journaux d'accès et d'erreurs pour détecter des requêtes SQL suspectes peut aider à identifier les tentatives d'exploitation. En l'absence de correctifs, une migration vers une solution alternative de gestion de projet est fortement recommandée.
Aucune solution n'est disponible car le produit n'est pas maintenu. Il est recommandé de migrer vers une solution alternative ou de mettre en œuvre des mesures de sécurité supplémentaires pour atténuer le risque d'injection SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25773 is a SQL Injection vulnerability affecting Focalboard versions up to 7.10.6. It allows an attacker to inject malicious SQL code into category IDs, potentially leading to data exfiltration, including password hashes.
If you are using Focalboard version 7.10.6 or earlier, you are affected by this vulnerability. However, as Focalboard is unsupported, no official fix is available.
Due to Focalboard being unsupported, a direct fix is not available. Mitigation strategies include restricting access, input validation, WAF rules, and monitoring database logs.
As of the current date, there are no confirmed reports of active exploitation. However, the vulnerability is publicly known and could be targeted.
Because Focalboard is unsupported, there is no official advisory. Information can be found on the NVD and other security resources.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.