Gratis scannen
HIGHCVE-2026-25773CVSS 8.1

Focalboard Second-Order SQL Injection in endpoint voor het herschikken van categorieën maakt data-exfiltratie mogelijk (niet-ondersteund product, geen oplossing)

Platform

go

Component

github.com/mattermost/focalboard

Opgelost in

8.0.1

7.10.7

AI Confidence: highNVDEPSS 0.0%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2026-25773 is een SQL injectie kwetsbaarheid in Focalboard. Door het niet opschonen van categorie ID's kunnen aanvallers kwaadaardige SQL code injecteren, wat leidt tot het uitlekken van gevoelige data zoals wachtwoord hashes. Versies 0 tot en met 8.0 van Focalboard zijn getroffen. Er is geen officiële fix beschikbaar, aangezien Focalboard als een standalone product niet meer wordt onderhouden.

Go

Detecteer deze CVE in je project

Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.

go.mod uploaden

Impact en Aanvalsscenarios

CVE-2026-25773 heeft invloed op Focalboard versie 8.0 en onthult een kwetsbaarheid voor SQL-injectie van de tweede orde (Time-Based Blind). Deze fout treedt op omdat de applicatie categorie-ID's niet correct opschoont voordat ze worden opgenomen in dynamische SQL-statements tijdens het proces van het herschikken van categorieën. Een geauthenticeerde aanvaller kan een kwaadaardige SQL-payload injecteren in het categorie-ID-veld, dat in de database wordt opgeslagen en vervolgens ongefilterd wordt uitgevoerd wanneer de categorie-herschik API de opgeslagen waarde verwerkt. Dit maakt de exfiltratie van gevoelige gegevens, waaronder wachtwoordhashes, mogelijk via een time-based blind SQL-injectietechniek. De ernst van het probleem wordt beoordeeld als CVSS 8.1, wat een aanzienlijk risico aangeeft.

Uitbuitingscontext

Een geauthenticeerde aanvaller met toegang tot de categorie-herschik functionaliteit kan deze kwetsbaarheid exploiteren. De aanvaller zou de categorie-ID manipuleren om kwaadaardige SQL-code in te sluizen. Deze code, zodra deze in de database wordt uitgevoerd, zou de aanvaller in staat stellen gevoelige informatie, zoals wachtwoordhashes, te extraheren via time-based blind SQL-query's. De aanval is van de tweede orde omdat de injectie plaatsvindt in de gegevensopslag (de categorie-ID) en de kwaadaardige uitvoering plaatsvindt in een volgend proces (het herschikken van categorieën). De 'Time-Based Blind'-aard betekent dat de aanvaller informatie moet afleiden door gegevens te extraheren op basis van de responstijd van de server, waardoor de exploitatie complexer, maar nog steeds haalbaar wordt.

Wie Loopt Risicowordt vertaald…

Organizations using Focalboard for project management, particularly those relying on it for sensitive data storage, are at risk. The lack of support means that these organizations are exposed to a known vulnerability with no official remediation path. Shared hosting environments where multiple users have access to the Focalboard instance are particularly vulnerable, as an attacker could potentially compromise other users' accounts.

Detectiestappenwordt vertaald…

• linux / server: Monitor database logs (e.g., MySQL slow query log) for unusual SQL queries involving category IDs. Use journalctl to filter for errors related to SQL execution.

journalctl -u mysqld -g 'category id' --since '1h'

• generic web: Use curl to test the category reordering API with various inputs, looking for unusual response times or errors.

curl -X POST -d 'category_id=1; SELECT sleep(5);' <reordering_api_endpoint>

• database (mysql): Check for suspicious stored procedures or functions that might be used to exploit the vulnerability.

SHOW PROCEDURE STATUS WHERE db = 'focalboard' AND Name LIKE '%category%';

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

0.01% (1% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaarno
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N8.1HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentgithub.com/mattermost/focalboard
Leverancierosv
Getroffen bereikOpgelost in
0 – 8.08.0.1
7.10.67.10.7

Zwakheidsclassificatie (CWE)

CWE-89

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt
Geen patch — 51 dagen na openbaarmaking

Mitigatie en Workarounds

Momenteel is er geen fix beschikbaar voor CVE-2026-25773. De meest effectieve onmiddellijke mitigatie is om te upgraden naar een versie van Focalboard die deze kwetsbaarheid aanpakt zodra deze beschikbaar is. Beperk in de tussentijd de toegang tot de categorie-herschik API tot gebruikers met minimale privileges. Implementeer een grondige databasebewaking om ongebruikelijke netwerkpatronen te detecteren die kunnen wijzen op een poging tot exploitatie. Controleer en versterk bovendien wachtwoordbeleid om potentiële impact te minimaliseren in het geval dat wachtwoordhashes worden gecompromitteerd. Het is ten zeerste aan te raden om op de hoogte te blijven van aankondigingen van Focalboard met betrekking tot de beschikbaarheid van een beveiligingsupdate.

Hoe te verhelpenwordt vertaald…

No hay solución disponible ya que el producto no está mantenido. Se recomienda migrar a una solución alternativa o implementar medidas de seguridad adicionales para mitigar el riesgo de inyección SQL.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-25773 — SQL Injection in github.com/mattermost/focalboard?

Het is een type SQL-injectie waarbij de aanvaller de query-antwoord niet direct ziet, maar informatie afleidt op basis van de tijd die de server nodig heeft om op verschillende query's te reageren.

Ben ik getroffen door CVE-2026-25773 in github.com/mattermost/focalboard?

De aanval vereist dat de aanvaller is geauthenticeerd in het Focalboard-systeem, omdat hij toegang nodig heeft tot de categorie-herschik functionaliteit.

Hoe los ik CVE-2026-25773 in github.com/mattermost/focalboard op?

U moet upgraden naar een gepatchte versie zodra deze beschikbaar is. Beperk in de tussentijd de toegang tot de herschik API en bewaak uw database.

Wordt CVE-2026-25773 actief misbruikt?

Zoek naar ongebruikelijke netwerkpatronen in uw database en bekijk de auditlogboeken op verdachte activiteiten.

Waar vind ik het officiële github.com/mattermost/focalboard-beveiligingsadvies voor CVE-2026-25773?

Er zijn tools voor kwetsbaarheidsscans die kunnen helpen bij het identificeren van SQL-injectie, maar het is belangrijk om ze up-to-date te houden en correct te configureren.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken