CVE-2026-31891 in Cockpitinfo

Zusammenfassung

von VulDB • 28.05.2026

Cockpit ist ein headless Content-Management-System. Jede Cockpit CMS-Instanz, die die Version 2.13.4 oder älter ausführt und über aktivierten API-Zugriff verfügt, ist potenziell von einer SQL-Injection-Schwachstelle im MongoLite Aggregation Optimizer betroffen. Jede Bereitstellung, bei der der Endpunkt `/api/content/aggregate/{model}` öffentlich zugänglich oder für nicht vertrauenswürdige Benutzer erreichbar ist, kann anfällig sein. Angreifer, die im Besitz eines gültigen schreibgeschützten API-Schlüssels (der niedrigste Berechtigungsgrad) sind, können diese Schwachstelle ausnutzen – ein Admin-Zugriff ist nicht erforderlich. Ein Angreifer kann beliebigen SQL-Code über ungesäuberte Feldnamen in Aggregationsabfragen injizieren, den `_state=1`-Filter für veröffentlichte Inhalte umgehen, um auf unveröffentlichte oder eingeschränkte Inhalte zuzugreifen, und unbefugte Daten aus der zugrunde liegenden SQLite-Inhaltsdatenbank extrahieren. Diese Schwachstelle wurde in Version 2.13.5 gepatcht. Der Fix wendet die gleiche Feldnamens-Säubierung an, die in v2.13.3 für `toJsonPath()` eingeführt wurde, auf die Methode `toJsonExtractRaw()` in `lib/MongoLite/Aggregation/Optimizer.php` an und schließt damit den Injektionsvektor im Aggregation Optimizer.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

09.03.2026

Veröffentlichung

18.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351462

CPE

bereit

EPSS

0.00013

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-31891
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-31891
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-31891/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!