CVE-2026-31844 in Kohainformazioni

Riassunto

di VulDB • 17/06/2026

È presente una vulnerabilità di SQL Injection (CWE-89) autenticata nell'interfaccia staff di Koha nell'endpoint /cgi-bin/koha/suggestion/suggestion.pl a causa di una convalida impropria del parametro displayby utilizzato dalla funzionalità GetDistinctValues. Un utente staff con privilegi ridotti può iniettare query SQL arbitrarie tramite richieste costruite ad hoc a questo parametro, consentendo l'esecuzione di istruzioni SQL non previste e l'esposizione di informazioni sensibili del database. Lo sfruttamento riuscito può portare alla compromissione completa del database backend, inclusa la divulgazione o la modifica dei dati memorizzati.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

TuranSec

Prenotare

09/03/2026

Divulgazione

11/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00442

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!