Plataforma
php
Componente
devcode-it/openstamanager
Corrigido em
2.10.3
2.10.2
A vulnerabilidade CVE-2026-35168 é uma falha de SQL Injection descoberta no módulo Aggiornamenti do OpenSTAManager, versões até 2.9.8. Um atacante autenticado pode injetar comandos SQL arbitrários no banco de dados, comprometendo a integridade e confidencialidade dos dados. A correção para esta vulnerabilidade está disponível na versão 2.10.2.
Esta vulnerabilidade permite que um atacante autenticado execute comandos SQL arbitrários no banco de dados do OpenSTAManager. Isso pode levar à exfiltração de dados sensíveis, modificação de dados, negação de serviço ou até mesmo à tomada de controle completa do sistema. A ausência de validação ou sanitização das instruções SQL recebidas via POST no módulo Aggiornamenti torna a exploração relativamente simples. A capacidade de executar comandos CREATE, DROP, ALTER, INSERT, UPDATE, DELETE e SELECT INTO OUTFILE representa um risco significativo, permitindo a manipulação completa do banco de dados. A vulnerabilidade é similar a outras falhas de SQL Injection que resultaram em graves comprometimentos de dados em sistemas de gerenciamento de conteúdo.
A vulnerabilidade foi divulgada em 2026-04-03. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade (SQL Injection) sugere que um PoC pode ser desenvolvido rapidamente. É importante monitorar a situação e implementar as medidas de mitigação recomendadas.
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-35168 é a atualização imediata para a versão 2.10.2 ou superior do OpenSTAManager. Se a atualização imediata não for possível, considere desabilitar temporariamente o módulo Aggiornamenti ou restringir o acesso a ele apenas a usuários confiáveis. Implementar regras de firewall ou um Web Application Firewall (WAF) para bloquear solicitações POST que contenham payloads SQL suspeitos pode fornecer uma camada adicional de proteção. Monitore os logs do sistema em busca de tentativas de injeção SQL, procurando por padrões incomuns nas consultas ao banco de dados. Após a atualização, confirme a correção executando testes de penetração ou verificando a integridade do banco de dados.
Atualize OpenSTAManager para a versão 2.10.2 ou superior. Esta versão contém uma correção para a vulnerabilidade de injeção SQL no módulo Aggiornamenti. A atualização evitará que atacantes executem comandos SQL arbitrários em seu banco de dados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenSTAManager is an open-source software license management tool.
The update fixes a critical vulnerability that allows the execution of arbitrary SQL code, which could compromise the security of your system.
Restrict access to the 'Aggiornamenti' module and monitor the system for activity.
Review and strengthen your authentication and authorization policies.
If you are using a version prior to 2.10.2, you are vulnerable. Consult the OpenSTAManager documentation for more details.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.