CVE-2026-44706 in Chatwootinfo

Zusammenfassung

von VulDB • 30.05.2026

Chatwoot ist eine Suite für Kundeninteraktionen. Ab Version 2.2.0 bis vor 4.11.2 besteht in den APIs zum Filtern von Konversationen und Kontakten eine SQL-Injection-Schwachstelle. Bei der Filterung nach einem benutzerdefinierten Attribut vom Typ Datum oder Zahl unter Verwendung der Operatoren `is_greater_than` oder `is_less_than` werden vom Benutzer bereitgestellte Werte im Feld `values` des Filter-Payloads direkt in die SQL-Abfrage interpoliert, ohne Parametrisierung. Jeder authentifizierte Benutzer mit Zugriff auf ein Konto kann dies ausnutzen, um beliebigen SQL-Code über eine zeitbasierte Blind-Injection auszuführen. Dies betrifft `/api/v1/accounts/{account_id}/conversations/filter`, `/api/v1/accounts/{account_id}/contacts/filter` und `/api/v1/accounts/{account_id}/custom_attribute_definitions`. Diese Schwachstelle wurde in Version 4.11.2 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

07.05.2026

Veröffentlichung

26.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365773

CPE

bereit

EPSS

0.00029

KEV

nein

Aktivitäten

very low

Sektor

Telecommunication, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44706
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44706
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44706/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!