CVE-2026-9059 in NextGEN Gallery정보

요약

\~에 의해 VulDB • 2026. 05. 20.

NextGEN Gallery 4.2.1 이전 버전은 REST API 엔드포인트 '/imagely/v1/galleries' 및 '/imagely/v1/albums'의 'orderby' 매개변수를 통해 인증된 SQL Injection(SQLi)에 취약합니다.

근본 원인은 데이터 매핑 레이어의 불충분한 정제 함수('_clean_column()')로, 화이트리스트 방식 대신 블랙리스트 방식을 사용하여 문자를 필터링합니다. 이로 인해 기본적으로 'Administrator' 역할에 할당된 'NextGEN Gallery overview' 권한을 가진 인증된 공격자가 'ORDER BY' 절에 임의의 SQL을 삽입할 수 있습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

Tenable

예약하다

2026. 05. 20.

모더레이션

수락

항목

VDB-364843

EPSS

0.00036

KEV

아니요

활동

매우 낮음

부문

Police, Lawfirm, ...

출처

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9059
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9059
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9059/

이전개요다음

Do you know our Splunk app?

Download it now for free!