CVEbaza.plSłownik CWECWE-89
Common Weakness Enumeration

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

Kategoria: BaseCVE: 23 357
Opis

Produkt konstruuje całość lub część polecenia SQL przy użyciu danych wejściowych pochodzących z zewnętrznego źródła, ale nie neutralizuje lub nieprawidłowo neutralizuje elementy specjalne, które mogłyby zmienić zamierzone polecenie SQL wysłane do komponentu podrzędnego. Bez wystarczającego usunięcia lub właściwej neutralizacji takich elementów, atakujący może zmodyfikować strukturę zapytania SQL i uzyskać nieautoryzowany dostęp do danych lub wykonać niechciane operacje na bazie danych.

Description (EN)

The product constructs all or part of an SQL command using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended SQL command when it is sent to a downstream component. Without sufficient removal or quoting of SQL syntax in user-controllable inputs, the generated SQL query can cause those inputs to be interpreted as SQL instead of ordinary user data.

Podatności CVE z CWE-89 (23 357)
10.0
CVSS
CRITICAL
CVE-2026-54350

Podatność w platformie Budibase (wersje przed 3.39.12) umożliwia nieuwierzytelnionemu atakującemu odczytanie wszystkich dokumentów z kolekcji baz danych (MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL, REST) oraz — przy spełnieniu określonego warunku — ich masową modyfikację za pomocą jednego żądania HTTP. Wysoki poziom krytyczności wynika z braku jakichkolwiek wymagań co do uwierzytelnienia i szerokiego zakresu wpływu na dane.

pub. 2026-06-26
10.0
CVSS
CRITICAL
CVE-2026-8054

Podatność typu SQL Injection w endpointach Publish Audit API systemu dotCMS Core pozwala zdalnym, nieuwierzytelnionym atakującym na odczyt, modyfikację lub zniszczenie dowolnych danych w bazie. Ze względu na brak wymagania uwierzytelnienia oraz brak sanityzacji danych wejściowych, podatność jest krytycznie niebezpieczna.

pub. 2026-05-27
10.0
CVSS
CRITICAL
CVE-2026-42287

W systemie Emlog przed wersją 2.6.11 wykryto podatność SQL injection w funkcjach tworzenia i aktualizacji artykułów, umożliwiającą atakującemu wykonanie dowolnych poleceń SQL. Ze względu na brak wymagań uwierzytelnienia i pełny wpływ na bazę danych, podatność oceniono jako krytyczną z maksymalnym wynikiem CVSS 10.0.

pub. 2026-05-08
10.0
CVSS
CRITICAL
CVE-2026-3325

MegaCMS w wersji 12.0.0 zawiera krytyczną podatność SQL injection w parametrze "id_territorio" endpointu "/web_comunications/cms/get_provincias". Nieuwierzytelniony atakujący może wykonać dowolne zapytania SQL, co zagraża poufności, integralności i dostępności całego systemu.

pub. 2026-04-29
10.0
CVSS
CRITICAL
CVE-2025-10878

W aplikacji Fikir Odalari AdminPando 1.0.1 wykryto podatność SQL injection w formularzu logowania, umożliwiającą nieuwierzytelnionemu atakującemu całkowite ominięcie mechanizmu uwierzytelnienia. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej instalacji tego oprogramowania.

pub. 2026-02-03
10.0
CVSS
CRITICAL
CVE-2025-57792

Explorance Blue w wersjach przed 8.14.9 zawiera krytyczną podatność typu SQL injection w endpoincie aplikacji webowej, która może być wykorzystana bez żadnego uwierzytelnienia. Umożliwia to atakującemu zdalne wykonywanie zapytań do bazy danych, co stanowi poważne zagrożenie dla poufności, integralności i dostępności danych.

pub. 2026-01-28
10.0
CVSS
CRITICAL
CVE-2025-52694

Krytyczna podatność typu SQL injection w produktach Advantech IoT Suite umożliwia nieuwierzytelnionemu zdalnemu atakującemu wykonanie dowolnych poleceń SQL na podatnym serwisie. Błąd otrzymał maksymalny wynik CVSS 10.0, co czyni go podatnością najwyższego priorytetu.

pub. 2026-01-12
10.0
CVSS
CRITICAL
CVE-2025-65091

Wtyczka XWiki Full Calendar Macro przed wersją 2.4.5 zawiera krytyczną podatność SQL injection w stronie Calendar.JSONService, dostępną bez uwierzytelnienia. Atakujący może uzyskać dostęp do danych bazy danych lub przeprowadzić atak DoS.

pub. 2026-01-10
10.0
CVSS
CRITICAL
CVE-2024-57521

W systemie RuoYi w wersji 4.7.9 i wcześniejszych wykryto krytyczną podatność typu SQL Injection w funkcji createTable w pliku SqlUtil.java. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na podatnym serwerze.

pub. 2025-12-23
10.0
CVSS
CRITICAL
CVE-2025-63531

W systemie Blood Bank Management System 1.0 wykryto podatność SQL injection w komponencie receiverLogin.php, umożliwiającą pominięcie mechanizmu uwierzytelnienia. Atakujący nieuwierzytelniony zdalnie może uzyskać nieautoryzowany dostęp do systemu.

pub. 2025-12-01
10.0
CVSS
CRITICAL
CVE-2025-63689

System point-of-sale Money-Pos autorstwa ycf1998 zawiera wiele podatności SQL injection umożliwiających zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczne zagrożenie.

pub. 2025-11-07
10.0
CVSS
CRITICAL
CVE-2025-57870

Krytyczna podatność typu SQL Injection w Esri ArcGIS Server pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnych poleceń SQL. Zagrożone są wersje 11.3, 11.4 i 11.5 działające na platformach Windows, Linux oraz Kubernetes.

pub. 2025-10-22
10.0
CVSS
CRITICAL
CVE-2025-57819

FreePBX w wersjach 15, 16 i 17 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad panelem administratora. Luka jest aktywnie wykorzystywana w atakach i otrzymała maksymalny wynik CVSS 10.0.

pub. 2025-08-28🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2025-50567

Saurus CMS Community Edition 4.7.1 zawiera krytyczną podatność w funkcji DB::prepare(), która poprzez użycie przestarzałego modyfikatora /e (eval) w preg_replace() umożliwia wstrzyknięcie i wykonanie dowolnego kodu PHP. Podatność jest dostępna zdalnie bez uwierzytelnienia, co czyni ją wyjątkowo niebezpieczną.

pub. 2025-08-19
10.0
CVSS
CRITICAL
CVE-2012-10047

Cyclope Employee Surveillance Solution w wersjach 6.x zawiera krytyczną podatność SQL injection w mechanizmie logowania, umożliwiającą zdalne wykonanie kodu. Brak walidacji parametru username pozwala nieuwierzytelnionemu atakującemu na przejęcie pełnej kontroli nad systemem z uprawnieniami SYSTEM.

pub. 2025-08-08
10.0
CVSS
CRITICAL
CVE-2025-54119

Biblioteka ADOdb w wersjach 5.22.9 i wcześniejszych zawiera podatność SQL injection (CWE-89) wynikającą z nieprawidłowego escapowania parametru zapytania. Umożliwia ona atakującemu wykonanie dowolnych poleceń SQL przy połączeniu z bazą SQLite3.

pub. 2025-08-05
10.0
CVSS
CRITICAL
CVE-2014-125123

W panelu sterowania Kloxo (LXCenter) przed wersją 6.1.12 istnieje podatność SQL injection w parametrze login-name, która pozwala nieuwierzytelnionemu atakującemu wydobyć hasło administratora z bazy danych. Po przejęciu danych uwierzytelniających możliwe jest wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami root.

pub. 2025-07-31
10.0
CVSS
CRITICAL
CVE-2014-125115

W systemie monitoringu Pandora FMS w wersji 5.0 SP2 i wcześniejszych istnieje nieuwierzytelniona podatność SQL injection, umożliwiająca przejęcie poświadczeń administratora. W połączeniu z drugą podatnością w komponencie File Manager pozwala to na zdalne wykonanie kodu (RCE) bez jakiejkolwiek autoryzacji.

pub. 2025-07-25
10.0
CVSS
CRITICAL
CVE-2025-4285

W aplikacji Agentis firmy Rolantis Information Technologies wykryto krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL. Podatność otrzymała maksymalny wynik CVSS 10.0, co wskazuje na jej wyjątkową krytyczność.

pub. 2025-07-22
10.0
CVSS
CRITICAL
CVE-2025-34112

Wieloetapowa podatność umożliwiająca zdalne wykonanie kodu (RCE) z uprawnieniami root istnieje w wirtualnych urządzeniach Riverbed SteelCentral NetProfiler i NetExpress w wersji 10.8.7. Łańcuch exploitów łączy SQL injection, command injection oraz eskalację uprawnień, co skutkuje pełnym przejęciem kontroli nad urządzeniem.

pub. 2025-07-15
Pokazano 20 z 23 357 podatności
Informacje
ID: CWE-89
Typ: Base
Podatności: 23 357
MITRE CWE ↗
← Słownik CWE