CRITICAL🇬🇧 English

CVE-2026-25238

SQL Injection w PEAR Pearweb — podatność przy usuwaniu subskrypcji błędów

CVSS 9.2v4.0pub. 2026-02-03upd. 2026-02-05

W systemie PEAR Pearweb przed wersją 1.33.0 istnieje podatność SQL injection w mechanizmie usuwania subskrypcji zgłoszeń błędów. Atakujący może wstrzyknąć złośliwy kod SQL poprzez odpowiednio spreparowaną wartość adresu e-mail, co stanowi poważne zagrożenie dla integralności i poufności danych.

Pokaż oryginał (EN)

PEAR is a framework and distribution system for reusable PHP components. Prior to version 1.33.0, a SQL injection vulnerability in bug subscription deletion may allow attackers to inject SQL via a crafted email value. This issue has been patched in version 1.33.0.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i parametryzacji danych wejściowych przekazywanych przez użytkownika w polu adresu e-mail podczas operacji usuwania subskrypcji błędów (bug subscription deletion). Atakujący może dostarczyć spreparowaną wartość e-mail zawierającą złośliwe fragmenty kodu SQL, które zostaną bezpośrednio włączone do wykonywanego zapytania bazodanowego. Taka technika pozwala na manipulowanie logiką zapytań SQL wykonywanych przez aplikację.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na nieautoryzowany odczyt, modyfikację lub usunięcie danych przechowywanych w bazie danych aplikacji PEAR Pearweb. W zależności od konfiguracji bazy danych możliwe jest również eskalowanie ataku do dalszych warstw infrastruktury.

Mitygacja

Należy zaktualizować PEAR Pearweb do wersji 1.33.0 lub nowszej, w której podatność została załatana. Szczegółowe informacje dostępne są w referencjach producenta pod adresem: https://github.com/pear/pearweb/security/advisories/GHSA-cv3c-27h5-7gmv

Kogo dotyczy

PEAR Pearweb w wersjach wcześniejszych niż 1.33.0

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Pear Pearweb

    APP
    Pear
    < 1.33.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-25241CRITICAL9.3PL ✓ten sam produkt

SQL injection w PEAR Pearweb — nieuwierzytelniony dostęp przez endpoint /get/

CVE-2026-25237CRITICAL9.2PL ✓ten sam produkt

RCE w PEAR Pearweb przez preg_replace() z modyfikatorem /e

CVE-2026-25235HIGH8.2ten sam produkt

PEAR is a framework and distribution system for reusable PHP components. Prior to version 1.33.0, predictable ...

CVE-2026-25233HIGH7.1ten sam produkt

PEAR is a framework and distribution system for reusable PHP components. Prior to version 1.33.0, logic bug in...

CVE-2026-25239HIGH8.2ten sam produkt

PEAR is a framework and distribution system for reusable PHP components. Prior to version 1.33.0, a SQL inject...