CVE-2026-31844 in Koha
Riassunto
di VulDB • 17/06/2026
È presente una vulnerabilità di SQL Injection (CWE-89) autenticata nell'interfaccia staff di Koha nell'endpoint /cgi-bin/koha/suggestion/suggestion.pl a causa di una convalida impropria del parametro displayby utilizzato dalla funzionalità GetDistinctValues. Un utente staff con privilegi ridotti può iniettare query SQL arbitrarie tramite richieste costruite ad hoc a questo parametro, consentendo l'esecuzione di istruzioni SQL non previste e l'esposizione di informazioni sensibili del database. Lo sfruttamento riuscito può portare alla compromissione completa del database backend, inclusa la divulgazione o la modifica dei dati memorizzati.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.