CRITICAL✓ PATCH🇬🇧 English

CVE-2026-45779

SQL Injection w Open XDMoD — nieuwierzytelniony dostęp do bazy danych

CVSS 9.3v4.0pub. 2026-06-05upd. 2026-06-10

W Open XDMoD w wersjach wcześniejszych niż 10.0.3 istnieje krytyczna podatność typu SQL injection, która pozwala nieuwierzytelnionemu, zdalnemu atakującemu na wykonanie dowolnych poleceń SQL. Zagrożenie jest szczególnie poważne, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

OpenXDMoD is an open framework for collecting and analyzing HPC metrics. An SQL injection vulnerability exists in Open XDMoD versions prior to 10.0.3 that allows an unauthenticated remote attacker to execute arbitrary SQL statements. Exploitation requires no authentication or user interaction and can result in complete compromise of the underlying database. All deployments of Open XDMoD prior to 10.0.3 are impacted. This issue was discovered on 2023-08-03 and patched on 2023-08-04. At this time there is no evidence that this vulnerability has been exploited in the wild. The vulnerability was patched in Open XDMoD 10.0.3 on 2023-08-04. As a workaround, apply the patch manually.

🤖 Analiza AI
Jak działa

Podatność (CWE-89) polega na braku odpowiedniej walidacji lub parametryzacji danych wejściowych przekazywanych do zapytań SQL. Atakujący może spreparować złośliwe żądanie sieciowe zawierające dodatkowe instrukcje SQL, które zostaną wykonane przez silnik bazy danych. Exploitation jest możliwy zdalnie, bez posiadania jakiegokolwiek konta w systemie, co drastycznie obniża próg wejścia dla potencjalnych napastników.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do całkowitego przejęcia kontroli nad bazą danych — odczytu, modyfikacji lub usunięcia danych, a potencjalnie również do dalszego ruchu w infrastrukturze (lateral movement). Konsekwencją może być pełne naruszenie poufności, integralności i dostępności przechowywanych danych HPC.

Mitygacja

Należy zaktualizować Open XDMoD do wersji 10.0.3 lub nowszej (patch wydany 2023-08-04). Dla środowisk, w których natychmiastowa aktualizacja nie jest możliwa, producent udostępnia manualne patche: dla wersji 0.0.0–8.6.0 pod adresem https://open.xdmod.org/security_patches/GHSA-r33r-6g3c-r992-0_0_0-8_6_0.patch oraz dla wersji 9.0.0–10.0.2 pod adresem https://open.xdmod.org/security_patches/GHSA-r33r-6g3c-r992-9_0_0-10_0_2.patch.

Kogo dotyczy

Wszystkie wdrożenia Open XDMoD w wersjach wcześniejszych niż 10.0.3, w tym wersje z gałęzi 0.0.0–8.6.0 oraz 9.0.0–10.0.2.

Uwagi

Podatność została odkryta 2023-08-03 i załatana dzień później, 2023-08-04, w wersji Open XDMoD 10.0.3. Według informacji producenta brak dowodów na aktywne wykorzystanie tej podatności w środowiskach produkcyjnych. Pomimo wczesnej daty odkrycia i naprawienia podatności, CVE zostało opublikowane 2026-06-05.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Buffalo Open Xdmod

    APP
    Buffalo
    < 10.0.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-45777CRITICAL9.3PL ✓ten sam produkt

RCE poprzez command injection w Open XDMoD (wersje 9.5.0–11.0.2)

CVE-2018-16988CRITICAL9.8ten sam produkt

An issue was discovered in Open XDMoD through 7.5.0. An authentication bypass (account takeover) exists due to...

CVE-2026-45778HIGH8.6ten sam produkt

OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Prior to version 11.0.3, an authentic...

CVE-2018-16961HIGH7.5ten sam produkt

An issue was discovered in Open XDMoD through 7.5.0. html/gui/general/dl_publication.php allows Path traversal...

CVE-2026-45776MEDIUM5.3ten sam produkt

OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Prior to version 11.0.3, a flaw in Op...