CRITICAL🇬🇧 English

CVE-2026-42287

SQL Injection w Emlog — wykonanie dowolnych poleceń SQL

CVSS 10.0v4.0pub. 2026-05-08upd. 2026-05-12

W systemie Emlog przed wersją 2.6.11 wykryto podatność SQL injection w funkcjach tworzenia i aktualizacji artykułów, umożliwiającą atakującemu wykonanie dowolnych poleceń SQL. Ze względu na brak wymagań uwierzytelnienia i pełny wpływ na bazę danych, podatność oceniono jako krytyczną z maksymalnym wynikiem CVSS 10.0.

Pokaż oryginał (EN)

Emlog is an open source website building system. Prior to version 2.6.11, direct SQL injection in article creation and update functions allows attackers to execute arbitrary SQL commands, potentially leading to complete database compromise, data theft, or system destruction. This issue has been patched in version 2.6.11.

🤖 Analiza AI
Jak działa

Podatność polega na bezpośrednim wstrzykiwaniu poleceń SQL (SQL injection, CWE-89) poprzez dane wejściowe przekazywane do funkcji tworzenia i aktualizacji artykułów w systemie Emlog. Atakujący może spreparować złośliwe zapytanie, które zostanie wykonane bezpośrednio przez silnik bazy danych bez odpowiedniej walidacji lub parametryzacji danych wejściowych. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez jakiejkolwiek interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełną kontrolę nad bazą danych — odczytywać, modyfikować lub usuwać przechowywane dane, co może prowadzić do kradzieży danych, zniszczenia systemu lub całkowitego naruszenia integralności serwisu.

Mitygacja

Należy niezwłocznie zaktualizować Emlog do wersji 2.6.11 lub nowszej, w której podatność została załatana. Szczegóły dostępne w referencjach producenta: https://github.com/emlog/emlog/security/advisories/GHSA-xxj8-fc63-j3gw

Kogo dotyczy

Emlog w wersjach przed 2.6.11 (open source system do budowy stron internetowych).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje
CVE-2026-42287 — SQL Injection w Emlog — wykonanie dowolnych poleceń SQL — CRITICAL 10.0 | CVEbaza.pl