CVE-2026-31844 in Koha情報

要約

〜によって VulDB • 2026年06月17日

認証済みユーザーによるSQLインジェクション脆弱性(CWE-89)が、Kohaのスタッフインターフェースの /cgi-bin/koha/suggestion/suggestion.pl エンドポイントに存在します。これは、GetDistinctValues 機能で使用される displayby パラメータの検証が不適切であることが原因です。低権限のスタッフユーザーは、このパラメータに対して作成されたリクエストを通じて任意のSQLクエリを注入でき、意図しないSQLステートメントの実行や機密性の高いデータベース情報の漏洩を招きます。攻撃が成功すると、保存されたデータの開示や改ざんを含む、バックエンドデータベースの完全な乗っ取りにつながる可能性があります。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

TuranSec

予約する

2026年03月09日

モデレーション

承諾済み

エントリ

VDB-350359

EPSS

0.00442

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!