Platform
php
Component
devcode-it/openstamanager
Opgelost in
2.10.3
2.10.2
CVE-2026-35168 is een SQL Injectie kwetsbaarheid in de Aggiornamenti module van OpenSTAManager. Een kwaadwillende actor kan willekeurige SQL-statements uitvoeren, wat kan leiden tot datalekken, manipulatie of zelfs volledige controle over de database. De kwetsbaarheid treft versies lager dan 2.10.2. De kwetsbaarheid is verholpen in versie 2.10.2.
CVE-2026-35168 in OpenSTAManager (versies <= 2.10.1) stelt een geauthenticeerde aanvaller in staat om willekeurige SQL-code op de database uit te voeren. De module 'Aggiornamenti' (Updates) bevat een functie voor conflictresolutie in de database (op=risolvi-conflitti-database) die een JSON-array van SQL-statements accepteert via een POST-verzoek. Deze functie voert deze statements direct uit op de database zonder enige validatie, whitelisting of sanitatie. Dit betekent dat een aanvaller potentieel gevoelige gegevens uit de database kan wijzigen, verwijderen of extraheren, waardoor de integriteit en vertrouwelijkheid van het OpenSTAManager-systeem in gevaar komt. De CVSS-severity is 8.8 (Hoog), wat een aanzienlijk risico aangeeft.
Een aanvaller met geldige inloggegevens om toegang te krijgen tot de module 'Aggiornamenti' kan deze kwetsbaarheid exploiteren. De aanvaller zou een POST-verzoek sturen met een JSON-array die kwaadaardige SQL-statements bevat. Het ontbreken van validatie stelt de aanvaller in staat om willekeurige SQL-code in te voegen die in de context van de database wordt uitgevoerd. De complexiteit van de exploitatie is laag, omdat er geen speciale vaardigheden nodig zijn, afgezien van SQL-kennis en het vermogen om HTTP-verzoeken te verzenden. De noodzaak van authenticatie beperkt de exploitatie tot gebruikers met systeemtoegang, maar de ernst van de kwetsbaarheid rechtvaardigt onmiddellijke aandacht.
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
De oplossing is om OpenSTAManager te upgraden naar versie 2.10.2 of hoger. Deze versie corrigeert de kwetsbaarheid door een juiste validatie van de SQL-statements te implementeren die via de parameter op=risolvi-conflitti-database worden ontvangen. In de tussentijd, als een tijdelijke maatregel, beperk dan de toegang tot de module 'Aggiornamenti' tot alleen geautoriseerde gebruikers en monitor het systeem op pogingen tot exploitatie. Versterk bovendien de authenticatie- en autorisatiebeleidsregels om de potentiële impact van een succesvolle aanval te beperken. De upgrade is de beste verdediging tegen deze kwetsbaarheid.
Actualice OpenSTAManager a la versión 2.10.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de inyección SQL en el módulo Aggiornamenti. La actualización evitará que atacantes ejecuten comandos SQL arbitrarios en su base de datos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OpenSTAManager is een open-source softwarelicentiemanagementtool.
De update corrigeert een kritieke kwetsbaarheid die de uitvoering van willekeurige SQL-code mogelijk maakt, wat de beveiliging van uw systeem in gevaar kan brengen.
Beperk de toegang tot de module 'Aggiornamenti' en monitor het systeem op activiteiten.
Bekijk en versterk uw authenticatie- en autorisatiebeleidsregels.
Als u een versie gebruikt die vóór 2.10.2 is, is deze kwetsbaar. Raadpleeg de OpenSTAManager-documentatie voor meer details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.