Platform
go
Component
github.com/mattermost/focalboard
Opgelost in
8.0.1
7.10.7
CVE-2026-25773 is een SQL injectie kwetsbaarheid in Focalboard. Door het niet opschonen van categorie ID's kunnen aanvallers kwaadaardige SQL code injecteren, wat leidt tot het uitlekken van gevoelige data zoals wachtwoord hashes. Versies 0 tot en met 8.0 van Focalboard zijn getroffen. Er is geen officiële fix beschikbaar, aangezien Focalboard als een standalone product niet meer wordt onderhouden.
CVE-2026-25773 heeft invloed op Focalboard versie 8.0 en onthult een kwetsbaarheid voor SQL-injectie van de tweede orde (Time-Based Blind). Deze fout treedt op omdat de applicatie categorie-ID's niet correct opschoont voordat ze worden opgenomen in dynamische SQL-statements tijdens het proces van het herschikken van categorieën. Een geauthenticeerde aanvaller kan een kwaadaardige SQL-payload injecteren in het categorie-ID-veld, dat in de database wordt opgeslagen en vervolgens ongefilterd wordt uitgevoerd wanneer de categorie-herschik API de opgeslagen waarde verwerkt. Dit maakt de exfiltratie van gevoelige gegevens, waaronder wachtwoordhashes, mogelijk via een time-based blind SQL-injectietechniek. De ernst van het probleem wordt beoordeeld als CVSS 8.1, wat een aanzienlijk risico aangeeft.
Een geauthenticeerde aanvaller met toegang tot de categorie-herschik functionaliteit kan deze kwetsbaarheid exploiteren. De aanvaller zou de categorie-ID manipuleren om kwaadaardige SQL-code in te sluizen. Deze code, zodra deze in de database wordt uitgevoerd, zou de aanvaller in staat stellen gevoelige informatie, zoals wachtwoordhashes, te extraheren via time-based blind SQL-query's. De aanval is van de tweede orde omdat de injectie plaatsvindt in de gegevensopslag (de categorie-ID) en de kwaadaardige uitvoering plaatsvindt in een volgend proces (het herschikken van categorieën). De 'Time-Based Blind'-aard betekent dat de aanvaller informatie moet afleiden door gegevens te extraheren op basis van de responstijd van de server, waardoor de exploitatie complexer, maar nog steeds haalbaar wordt.
Organizations using Focalboard for project management, particularly those relying on it for sensitive data storage, are at risk. The lack of support means that these organizations are exposed to a known vulnerability with no official remediation path. Shared hosting environments where multiple users have access to the Focalboard instance are particularly vulnerable, as an attacker could potentially compromise other users' accounts.
• linux / server: Monitor database logs (e.g., MySQL slow query log) for unusual SQL queries involving category IDs. Use journalctl to filter for errors related to SQL execution.
journalctl -u mysqld -g 'category id' --since '1h'• generic web: Use curl to test the category reordering API with various inputs, looking for unusual response times or errors.
curl -X POST -d 'category_id=1; SELECT sleep(5);' <reordering_api_endpoint>• database (mysql): Check for suspicious stored procedures or functions that might be used to exploit the vulnerability.
SHOW PROCEDURE STATUS WHERE db = 'focalboard' AND Name LIKE '%category%';disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen fix beschikbaar voor CVE-2026-25773. De meest effectieve onmiddellijke mitigatie is om te upgraden naar een versie van Focalboard die deze kwetsbaarheid aanpakt zodra deze beschikbaar is. Beperk in de tussentijd de toegang tot de categorie-herschik API tot gebruikers met minimale privileges. Implementeer een grondige databasebewaking om ongebruikelijke netwerkpatronen te detecteren die kunnen wijzen op een poging tot exploitatie. Controleer en versterk bovendien wachtwoordbeleid om potentiële impact te minimaliseren in het geval dat wachtwoordhashes worden gecompromitteerd. Het is ten zeerste aan te raden om op de hoogte te blijven van aankondigingen van Focalboard met betrekking tot de beschikbaarheid van een beveiligingsupdate.
No hay solución disponible ya que el producto no está mantenido. Se recomienda migrar a una solución alternativa o implementar medidas de seguridad adicionales para mitigar el riesgo de inyección SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een type SQL-injectie waarbij de aanvaller de query-antwoord niet direct ziet, maar informatie afleidt op basis van de tijd die de server nodig heeft om op verschillende query's te reageren.
De aanval vereist dat de aanvaller is geauthenticeerd in het Focalboard-systeem, omdat hij toegang nodig heeft tot de categorie-herschik functionaliteit.
U moet upgraden naar een gepatchte versie zodra deze beschikbaar is. Beperk in de tussentijd de toegang tot de herschik API en bewaak uw database.
Zoek naar ongebruikelijke netwerkpatronen in uw database en bekijk de auditlogboeken op verdachte activiteiten.
Er zijn tools voor kwetsbaarheidsscans die kunnen helpen bij het identificeren van SQL-injectie, maar het is belangrijk om ze up-to-date te houden en correct te configureren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.