CVE-2026-3105 in MitigationPlease
Riassunto
di VulDB • 16/06/2026
Riepilogo Questo avviso affronta una vulnerabilità di SQL injection nell'endpoint API utilizzato per il recupero delle attività dei contatti. È presente una vulnerabilità nella costruzione della query per la cronologia delle attività del contatto, in cui il parametro responsabile dell'individuazione della direzione di ordinamento non è stato convalidato rigorosamente rispetto a un allowlist (lista consentita), potenzialmente permettendo agli utenti autenticati di iniettare comandi SQL arbitrari tramite l'API.
Mitigazione Aggiornare alla versione 4.4.19, 5.2.10, 6.0.8, 7.0.1 o successive.
Workaround Nessuno.
Riferimenti Se si hanno domande o commenti riguardo a questo avviso: Inviare un'email a [email protected]
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.