CRITICAL🇬🇧 English

CVE-2026-25544

SQL Injection w Payload CMS — przejęcie konta bez uwierzytelnienia

CVSS 9.8v3.1pub. 2026-02-06upd. 2026-02-20

Podatność typu SQL injection w systemie Payload CMS (headless CMS) umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu SQL poprzez pola JSON lub richText. Zagrożenie jest krytyczne, ponieważ pozwala na przejęcie dowolnego konta użytkownika bez znajomości hasła.

Pokaż oryginał (EN)

Payload is a free and open source headless content management system. Prior to 3.73.0, when querying JSON or richText fields, user input was directly embedded into SQL without escaping, enabling blind SQL injection attacks. An unauthenticated attacker could extract sensitive data (emails, password reset tokens) and achieve full account takeover without password cracking. This vulnerability is fixed in 3.73.0.

🤖 Analiza AI
Jak działa

Dane wprowadzone przez użytkownika w zapytaniach dotyczących pól JSON lub richText były bezpośrednio osadzane w zapytaniach SQL bez odpowiedniego oczyszczania (escapowania). Pozwala to na przeprowadzenie ataku blind SQL injection — atakujący może zadawać bazie danych pytania i na podstawie różnic w odpowiedziach odczytywać zawartość bazy danych. W ten sposób możliwe jest wydobycie wrażliwych danych, takich jak adresy e-mail oraz tokeny resetowania hasła, co umożliwia przejęcie konta bez konieczności łamania haseł.

Skutki

Atakujący bez żadnego uwierzytelnienia może wydobyć wrażliwe dane z bazy danych (m.in. adresy e-mail i tokeny resetowania hasła) oraz przejąć pełną kontrolę nad dowolnym kontem użytkownika, w tym administratora.

Mitygacja

Należy niezwłocznie zaktualizować Payload CMS do wersji 3.73.0 lub nowszej, w której podatność została naprawiona. Szczegóły dostępne w referencjach producenta: https://github.com/payloadcms/payload/security/advisories/GHSA-xx6w-jxg9-2wh8

Kogo dotyczy

Payload CMS (open source headless CMS) — wszystkie wersje przed 3.73.0

Uwagi

Podatność umożliwia przejęcie konta bez crackowania haseł — wystarczy odczytać token resetowania hasła z bazy danych poprzez blind SQL injection. Szczególnie narażone są instancje z publicznie dostępnym API.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Payloadcms Payload

    APP
    Payloadcms
    < 3.73.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-34751CRITICAL9.1PL ✓ten sam produkt

Payload CMS: ominięcie uwierzytelnienia przez podatny przepływ resetowania hasła

CVE-2022-27952CRITICAL9.8ten sam produkt

An arbitrary file upload vulnerability in the file upload module of PayloadCMS v0.15.0 allows attackers to exe...

CVE-2026-34747HIGH8.5ten sam produkt

Payload is a free and open source headless content management system. Prior to version 3.79.1, certain request...

CVE-2026-34748HIGH8.7ten sam produkt

Payload is a free and open source headless content management system. Prior to version 3.78.0 in @payloadcms/n...

CVE-2026-34746HIGH7.7ten sam produkt

Payload is a free and open source headless content management system. Prior to version 3.79.1, an authenticate...

CVE-2026-25544 — SQL Injection w Payload CMS — przejęcie konta bez uwierzytelnienia — CRITICAL 9.8 | CVEbaza.pl