CVE-2026-31844 in Koha
要約
〜によって VulDB • 2026年06月17日
認証済みユーザーによるSQLインジェクション脆弱性(CWE-89)が、Kohaのスタッフインターフェースの /cgi-bin/koha/suggestion/suggestion.pl エンドポイントに存在します。これは、GetDistinctValues 機能で使用される displayby パラメータの検証が不適切であることが原因です。低権限のスタッフユーザーは、このパラメータに対して作成されたリクエストを通じて任意のSQLクエリを注入でき、意図しないSQLステートメントの実行や機密性の高いデータベース情報の漏洩を招きます。攻撃が成功すると、保存されたデータの開示や改ざんを含む、バックエンドデータベースの完全な乗っ取りにつながる可能性があります。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.